Embed Size (px)
Citation preview
1- Internet’in Atası ARPANET ARPANET (Advanced Research Projects Agency NETwork) bilgisayar dünyasında Internetin atası olarak bilinmektedir. Amerika Birleşik Devletleri savunma bakanlığı tarafından Sovyet ordularının saldırısı ya da olağanüstü bir olay durumunda haberleşmeyi sağlamak için kurulmuş olan bu ağ Aralık 1969 yılında Stanford Üniversitesi, UCLA Üniversitesi, Utah Üniversitesi ve UCSB Üniversiteleri arasında kurulduktan kısa bir süre sonra hızlı bir şekilde yaygınlaşmıştır. Bu sistem dünyada paket anahtarlama modelinin kullanıldığı ilk bilgisayar ağı olma özelliği taşıması sebebi ile Internet’in atası olarak kabul edilmektedir.
ARPANET ağında üç temel servis verilmekteydi. Bu servisler sırası ile dosya transferi (FTP), elektronik posta (e-posta) ve uzaktaki bilgisayardaki hesaba giriş yapma (TELNET) hizmetleridir.
2- Bilgisayar Ağlarının Kullanım Amaçları
a. Bulunulan yerden bağımsız olarak kaynağı paylaşabilme ve erişim. Örnek: İşlemci paylaşımı ile başka bilgisayarların işlem gücünü kullanma, Yazıcı paylaşımı ile uzaktaki yazıcıyı ya da başka bilgisayara bağlı yazıcıyı kulamla, Sabit sürücü (Hard disk) paylaşımı ile uzaktaki diskten okuma ya da yazma, v.b. b. Her türlü bilginin taşınmasına olanak sağlama (multimedia, çoklu ortam.) Örnek: Ses, görüntü ve veri gibi farklı bilgilerin bilgisayar ağı üzerinden taşınması. c. Kaynaklara erişimde yüksek güvenilirlik sağlayabilmek. Örnek: Farklı yetkideki bilgisayarların (ya da işlemlerin) bilgisayar ağının tamamı ya da bir kısmı gibi farklı alanlarına ulaşabilmesi.
d. Sisteme bağlı cihazlar arasında yük dağılımı sağlayabilmek. Örnek: Sisteme bağlı birden benzer işi yapacak olan cihazların iş yapma oranlarının dengelenmesi amacı ile düzenlenmesi sonucu, bilgisayar ağındaki her cihazın dengeli bir iş yüküne sahip olabilmesi. e. Birçok bilgisayar sisteminin bir araya gelmesi ile çok güçlü bir ağ bilgisayar ortamı yaratmak. Örnek: Büyük problemlerin çözümünde, işlemci, hafıza ve veri yolu gibi özelliklerinin çok pahalı olan bir bilgisayar kullanılması yerine, yüzler, hatta binlerce orta kapasiteli ancak ucuz bilgisayarın kullanılması ile sonuç hesaplayan bir ağ bilgisayar ortamı kullanılması.
3- Veri Ağları Birden çok bilgisayarın birbirine bağlı olduğu donanım ve yazılımların da paylaşılmasına izin veren bilgisayar ağları, veri haberleşmesini veri ağları üzerinden yapmaktadır. Bilgi iletimine en güzel örnek evlerimizde kullandığımız telefonlardır. Telefonlarda ses bilgisi kablolar ile santrale gönderilir, santrallerden diğer santrallere ve oradan da hedef telefona çağrı iletilir. Her telefonun kendisine ulaşmakta kullanılan bir numarası bulunmaktadır. Bu sistem incelendiğinde bir ağın nasıl çalıştığı daha kolay anlaşılabilir. Sistem bilgisayara uyarlandığında her bilgisayarın bir numarasının bulunduğu, çeşitli kablolama teknolojileri ve ağ elemanlarıyla bilginin hedefe ulaştırıldığı görülecektir. Bilgisayar ağları da bir veri ağıdır. Ağ sistemi ise iki kişisel bilgisayardan oluşabileceği gibi binlerce iş istasyonundan da oluşabilir.
4- İletişimde Sinyallerin İletim Yöntemleri İletişim sırasında sinyallerin anlaşılabilir bir şekilde iletilmeleri için belli bir düzende gönderilmeleri gerekmektedir. İletimin yöntemi sistemin hızını, kullanılacak cihaz ve donanım sayısını ve sistemin genel maliyeti gibi özelliklerini etkilemektedir. İletişimde sinyallerin iletimi seri ve paralel olarak iki ana grupta gerçekleşmektedir. Seri iletim kendi içinde de asenkron (eşzamansız) ve senkron (eşzamanlı) olarak iki farklı gruba ayrılmaktadır. 4.1. Seri İletim Bu iletişimde bilgiler yalnızca bir tek iletim hattı kullanılarak yapılmaktadır. Günlük hayattan örnek vermek gerekirse bir otomobil yolu düşünüldüğünde, seri iletişim kullanılması durumunda otomobilin kullanabileceği tek şeritli yol bulunmaktadır. Seri iletimde birim zamanda gönderilen sinyal sayısına “baud” denilmektedir. Bu bağlamda eğer sistem birim zaman içinde k bitlik bir bilgi gönderiyorsa sistemde 1 baud, k bite karşılık gelmektedir. Bu gerçekten yola çıkarak, iletişim sırasında bir taraftan diğer tarafa bir sinyal (bir baud) gönderildiğinde birden fazla bilgi biti gönderilebilmektedir.
4.2. Asenkron Seri İletim Bu tür seri iletim yönteminde iletişimde bulunan taraflar arasında senkronizasyon (eşgüdüm) bulunmamaktadır. Taraflar arasında farklı saatlerin kullanıldığı bu yöntemde mesajların karşılıklı olarak anlaşılabilmesi için mesajın nerede başladığı ve nerede bittiği gibi sinyallerin gönderilmesi gerekmektedir. Asenkron seri iletimde bilgi bloklara bölünerek gönderilir. Yedi veya sekiz bitten oluşan blokların başına başlama biti, sonuna da bloğun bitiş biti konulmaktadır. Ayrıca, bilginin kontrolü amacı ile eşlik (parity) biti de bitiş bitinin öncesine konulmaktadır. 4.3. Senkron Seri İletim İletişim kuran taraflar arasında sürekli bir eşgüdüm olması durumunda yapılan seri iletim türüdür. Buradaki eşgüdümün sağlanabilmesi için iki tarafta aynı saatleri kullanmaları söz konusudur. Senkron seri iletimde veriler asenkron seri iletime göre çok daha büyük bloklar halinde iletilirler ve bilgi katarı isminde anılmaktadırlar. Bu blokların büyüklüğü 64 bit ile 4096 bit arasında değişmektedir. Bilgi katarından önce gönderilmesi gereken 6 ila 16 bit arasında uzunlukta ön ek bulunmaktadır. Bu ön ek veri bitlerinin gönderilmeye başlanabilmesi için gereklidir. Veri bitlerinin arkasından gönderilen bilginin bittiğini belirten metin sonu ve CRC (Cyclic Redundancy Check) bitlerinden oluşan ve 6 ila 24 bit arası bitten oluşan son ek bitleri yer almaktadır. 4.4. Paralel İletim Bir anda birden fazla veri bitinin transfer edildiği iletişim yöntemidir. Genellikle birbirine yakın cihazlar arasında kullanılmakta olan bu iletişim şekline popüler bir örnek olarak bilgisayar ile yazıcı bağlantısını verilebilir. İki farklı bilgisayarda paralel bağlantı kullanılarak birbirine bağlanabilmektedir.
5- Bilgisayarlar Arası İletişimde Protokollerin Önemi Farklı bilgisayarlar sistemlerinin birlikte çalışabilmesi için ortak bir düzenleme üzerinde anlaşmaları gerekmektedir. Bu şekilde yapılan birçok düzenleme bulunmaktadır. Bu düzenlemelerin her birine “protokol” denilmektedir. Günümüzde birçok farklı bilgisayar sistemi bulunmaktadır. İşte bu çeşitli bilgisayar sistemlerinin çalışma prensipleri birbirinden farklı olabildiğinden, ortak protokoller ile birbirleri ile arasındaki iletişimi sağlamak mümkün olabilmektedir.
6- Topoloji Kavramı İletişim sisteminin elemanların bağlantı şekli, sistemin çalışma yöntemini ve coğrafi duruma göre iletişimin yapılma tarzını belirler. Coğrafi olarak Yerel Alan Ağı (Local Area Network, LAN) ve Geniş Alan Ağı (Wide Area Network, WAN) isminde iki çeşit ağ bulunmaktadır. 6.1. Ortak Yol Topolojisi Ortak yol (bus) topolojisinde ağı kullanacak tüm cihazlar (bilgisayar, yazıcı, kamera, v.s.) ortak bir hat üzerinden iletişim kurmaktadır. İletim sırasında bir cihazdan çıkan sinyaller ağ üzerindeki diğer bütün cihazlara gönderilmektedir. Ortak yol topolojisinde sistemin kurulması ve ağa yeni cihaz eklenmesi kolay bir topolojidir. Gönderilen her mesajın, ağı kullanan diğer bütün cihazlar tarafından alınmasından dolayı bu topolojide ağı kullanan sayısı arttıkça performans azalmaktadır.
6.2. Halka Topolojisi Bu topolojide her cihaz iki farklı yönden ağa bağlantı kurmaktadır. Halka (ring) topolojisinde bilgilerin gönderilme sırasını düzenleyen jeton (token) isminde bir belirleyici kullanılmakta olup, jetonu eline geçiren cihaz iletişim hakkı olduğunu anlamaktadır. Jetonu olmayan cihazlar ise, jeton kendilerine gelene kadar beklemek zorundadır. Jetonu alan cihaz iletimi yapar, eğer yollayacak bir şey yoksa hemen yanındaki cihaza jetonu gönderir. Ortak yol topolojisine göre nispeten daha zor kurulum isteyen halka yönteminde, sistemdeki cihaz sayısı artmasına rağmen bekleme süresinin belli bir sınırda kalması sağlanmaktadır. Bu yüzden sistem performansı cihaz sayısının artsa bile çok kötü bir şekilde etkilenmemektedir. Bu topolojide sistemin ayarına göre halkanın tek yönünde ya da iki yönünde birden (soldan sağa, ya da sağdan sola) iletişim kurulabilmektedir.
6.3. Yıldız Topolojisi Yıldız topolojisi ağa bağlı cihazların hepsinin bir merkez cihaza bağlanması şeklinde yapılmaktadır. Merkez cihaz hub ya da anahtar (switch) ismindeki cihazlar olabileceği gibi bir bilgisayarda olabilmektedir. Bu topolojide yürütülen bütün trafik bu merkezi cihaz üzerinden geçmektedir. Yıldız topolojisinin birçok avantajı bulunmaktadır. Bunlardan ilki sistem performansının iyi olmasıdır. Sinyallerin bütün ağı dolaşmaları gerekmediğinden sistem performansı artmaktadır. Diğer bir avantaj bu topolojide bütün trafiğin tek bir noktadan geçmesinden dolayı, merkezi bir kontrol sağlamak kolaydır. Ayrıca, tasarımı sayesinde hataların nerede meydana geldiğini tespit etmek kolaydır. Bunlardan başka, ölçeklenebilir yapısı ile yıldız topolojisinde ağın kapasitesinin arttırılması kolaydır. Diğer bir avantaj ise, merkezdeki cihaz haricinde hata meydana gelmesi durumunda, ağın çalışmasında önemli bir sıkıntı oluşmamasıdır. Yıldız topolojisinin en büyük dezavantajı, merkez noktasında meydana gelen hatalardır. Merkezi noktada oluşan bir hata durumunda bütün ağ devre dışı kalmaktadır.
Bu topolojinin diğer bir dezavantajı da kurulum için daha fazla kabloya ihtiyaç duyulmasıdır. Ayrıca, merkezi noktada kullanılan cihazın maliyetinden ötürü, yıldız topolojisinin kurulum maliyeti daha yüksektir.
Yıldız topolojisi ağ uygulamalarında yoğun olarak kullanılmaktadır. Bazı sistemlerde çalışma prensibi ortak yol veya halka topolojisi bile olsa, yıldız topolojisi kullanılarak bağlantılar yapılmaktadır. Şu ana kadar anlatılmış olan ortak yol, halka ve yıldız topolojileri genellikle kısa mesafeli olan ağlarda kullanılmaktadır. 6.4. Ağaç Topolojisi Ağaç (tree) topolojisinde bir sıralama sistemi kullanılarak ağ bağlantıları yapılmaktadır. Bu bağlamda en yüksek yetkiye sahip olan cihaz en üst kısımda yer alırken, daha az yetkiye sahip cihazlar daha alt katmanlarda yer almaktadır. Ağaç topolojisinde yer alan en üst cihaza “kök” denilmektedir. Bu kök cihazdan çıkan her bir alt cihaza da bu kökün çocuklarının teşkil ettiği dallar denilmektedir. Bu topolojide en önemli noktalardan birisi ağdaki her bir cihazın yalnızca bir tane direkt olarak bağlı atası (mantıksal yapıda, üst tarafta yer alan) bulunmaktadır. Örneğin Şekil 2.10’da PC 1’in atası kök’te yer alan bilgisayar, yazıcı 2’nin atası ise PC 1’dir. Ağaç topolojisindeki bu özellik, ağın hiçbir yerinde çember olmaması özelliğidir. Ağaç topolojisinin avantajları arasında, sistemin güvenlik düzenlemesi sayesinde bilgilerine erişme hakkı kısıtlanacak cihazlar, direkt olarak ayrılmış olmaktadır. Örneğin, Şekil 2.10’daki örnekte PC 1 isimli bilgisayarın Yazıcı 1’e ulaşması istenmiyorsa, kök üzerinde yapılacak ayarlama ile ona ulaşmasına engel olunmaktadır. Diğer taraftan Yazıcı 2’ye ise PC 1’den direkt bir bağlantı olduğu için bu cihaz direkt olarak kullanabilmektedir.
Ağaç topolojisinin diğer bir avantajı ise ağdaki bölümler arasında noktadan noktaya bağlantı olanağının bulunmasıdır. Ağaç topolojisinin en büyük sıkıntısı kurulumunun, kablolama işleminin ve konfigürasyonunun daha zor gerçekleştirilmesidir. Ayrıca, topolojide üst tarafta yer alan cihazlarda meydana gelebilecek hatalar sonucunda ağın diğer tarafı ile iletişim kesilmektedir.
6.5. Örgü Topolojisi Örgü (mesh) topolojisinde ağa bağlı cihazlar bu topoloji genel olarak ağaç topolojisine benzemek ile birlikte bu topolojide en az bir tane çember bulunması söz konusudur.
7- Ağ Protokol Standartları
Ağ protokol standartları arasında DHCP, DNS, ETHERNET, IP, IPX/SPX ve TCP/IP protokollerinden bahsedilebilir. DHCP, protokolü BOOTP protokolünün devamıdır. DHCP, DHCP kullanmak üzere yapılandırılmış bilgisayarlara merkezi ve otomatik olarak IP adresi atanması ile TCP/IP bilgilerinin yapılandırılmasını ve bunların yönetilmesini sağlar. DHCP’nin uygulanması manuel olarak IP adresinin verilmesi nedeniyle ortaya çıkan bazı problemlerin çözümlenmesini sağlar. Diğer protokoller sonraki modüllerde ayrıntılı olarak işlenecektir. SNMP, FTP, IGMP, ARP v.b.
8- Ağ Çeşitleri 8.1. Yerel Alan Ağları(LAN) Yerel alan ağları (LAN - Local Area Network) adından da anlaşılabileceği gibi bir yerleşke veya bir kurum içerisinde oluşturulan, dışa kapalı ağlardır. Bilgisayarlar arası uzaklık birkaç kilometreden fazla değildir. İstasyonlar küçük bir coğrafi alan içerisindedir. Yerel ağlar diğerlerine göre daha hızlı çalışırlarken megabit gibi hızlara erişirler. Örnek olarak, evlerde veya işyerlerinde oluşturulan ağlar yerel alan ağlarına girer. Genellikle internet paylaşımının gerçekleştirilmesi, çok kullanıcılı basit programların kullanılması veya çok kullanıcılı oyunların oynandığı ağlardır. 8.2. Geniş Alan Ağları(WAN) Birbirlerine çok uzak yerel ağların(LAN) bir araya gelerek oluşturduğu geniş ağlardır. (WAN – Wide Area Network ) Ağlar arası bağlantı fiber optik bir kablo ile olabileceği gibi uydular üzerinden de sağlanabilir. Bu ağlarda kullanılan teknolojiler LAN’lardan farklıdır. Yönlendirici (router) ve çoklayıcı (repeater) gibi ağ elemanlarının kullanılması gerekir. İstasyonlar çok geniş bir coğrafi alana yayılmıştır. 8.3. Metropol - Alan Ağları (MAN) Metropolitan ağlar (MAN – Metropolitan Area Network ) yerel alan ağlarından biraz daha büyük ağlardır. Üniversitelerde, büyük iş yerlerinde oluşturulan ağlar bu kategoriye girer. Ülke çapına yayılmış organizasyonların belirli birimleri arasında sağlanan veri iletişimi ile oluşan ağlardır. 8.4. Depolama – Alan Ağları (SAN) Sunucular, saklama ortamı olarak üzerlerine düşen görevi yapmasına karşılık, kapasiteleri sınırlıdır ve aynı bilgiye birçok kişi erişmeye çalıştığında darboğaz oluşabilir. Bu yüzden birçok kuruluşta teyp üniteleri, RAID diskler ve optik saklama sistemleri gibi yedeklenmesinde ve büyük miktarlarda bilginin saklanmasında etkin rol oynarlar. Sunucu boyutları ve yoğun uygulamalar arttıkça yukarıda sözü edilen geleneksel saklama ortamı stratejileri iflas etmektedir. Çünkü bu çevrebirimi aygıtlarına erişim yavaştır ve her kullanıcının bu saklama aygıtlarına saydam bir şekilde erişimi mümkün olamayabilir. SAN (Storage Area Network)’lar verilere daha hızlı erişim ve daha fazla seçenek sunmaktadır. Veri depolama ağları, her bir sunucunun veri depolama sistemi ile bir teyp yedekleme kütüphanesi
arasında yüksek hızlı ve doğrudan fiber kanal bağlantısı sağlayabilir. Bunun anlamı, yerel ağın, bundan böyle yedekleme ve geri yükleme sürecinde verileri taşımak için kullanılmayacağı, böylece yerel ağ üzerindeki hizmetler ve kullanıcılar için performansın arttırılmasıdır. Bu tür teyp depolama uygulaması, yerel ağdan bağımsız (LANfree) yedekleme çözümü olarak anılmaktadır. Kısa zamanda fazla veri depolanmasını sağlamakta ve merkezi bir yönetime olanak vermektedir. 8.5. Özel Sanal Ağlar (VPN) Sanal ve özel ağlar (VPN - Virtual Private Network), yerel internet servis sağlayıcı ve kurumsal yerel ağlar arasında güvenli bir tünel üzerinden veri iletimi gerçekleştirerek çalışır. Bir çok ağ donanımı üretici internet gibi, paylaşılmış veri ağları üzerinden tünelleme ve şifreleme yapabilme yeteneğine sahip donanımları piyasaya sunmaktadır. Kurumsal ağlarını daha önceden bir takım güvenleri nedeni ile internete bağlamayan şirketleri yeni VPN teknolojileri ile güvenli bağlantılar sağlayabilecekler.
9- İLETİM ORTAMLARI Kablolu bilgisayar ağlarında bilgilerin ilerlemesi için bir kablo türü kullanarak ağ üzerindeki cihazların birbirine bağlanması gerekmektedir. Piyasada bulunan bilgisayar ağı kablo türleri üç ana sınıfa ayrılmaktadır. 9.1. Bükümlü Çift (Twisted Pair) En eski ve çok popüler bir kablolama yöntemidir. UTP, STP ve FTP olmak üzere üç çeşidi vardır. UTP’nin açılımı (Unshielded Twisted Pair) olup “Korumasız Bükümlü Çift” anlamına gelmektedir. Yerel Alan Ağlarında yoğun olarak kullanılmaktadır. Şekil 6.18’de UTP türü bükümlü çift örneği gösterilmektedir. UTP türü bükümlü çift kabloların dış etmenlerden gelecek gürültülerden etkilenme olasılığını azaltmak için STP türü bükümlü çift geliştirilmiştir. STP’nin açılımı (Shielded Twisted Pair) dir. Türkçe anlamı “Korumalı Bükümlü Çift” olarak belirtilebilir. STP türü bükümlü çiftte, UTP kablonun iç yüzeyine bir koruma tabakası konulmuş olan bir bükümlü çift yöntemidir. Şekil 6.18’de STP türü bükümlü çift kablo gösterilmektedir.
Üçüncü tür bükümlü çift kablo FTP dir. Açılımı “Foiled Twisted Pair” olan bu tür “Folyolu Bükümlü Çift” şeklinde Türkçeleştirilebilir. FTP türü bükümlü çiftte, STP türü kablo gibi en dıştaki koruyucu tabaka ile dışarıdan gelecek gürültüleri kesmenin dışında, her bir bükümlü çifti de koruyucu tabaka ile sararak, aynı kablo içindeki farklı çiftlerin birbirlerine yaratabilecekleri etkilemeleri de en aza indirmeyi hedeflemektedir.
9.2. Koaksiyel Kablo (Coaxial Cable) Piyasada yoğun olarak kullanılmakta olan diğer bir bilgisayar ağı kablo türüdür. Bu kablo bükümlü çiftten daha uzun mesafeler için kullanılmaya uygundur. “50” ve “75” ohmluk olmak üzere iki çeşit koaksiyel kablo yoğun biçimde kullanılmaktadır. Dijital sistemlerde genellikle 50 ohmluk koaksiyel kablo kullanılmaktadır. Taşıyıcı kısmı bakır olan bu kablo türüdür. Dört bölümden oluşan koaksiyel kablo en içte bilgiyi taşıyan “ana iletken” olan bakır tel, onu saran “yalıtkan tabaka”, onun dışında ince tellerden oluşan “koruyucu iletken tabaka” ve en dışta yer alan “yalıtkan kılıf” bulunmaktadır. Şekil 6.19’da bir koaksiyel kablo örneği gösterilmektedir.
9.3. Fiber Kablo Bilgisayar sistemlerinde hız son derece önemlidir. Konu bilgisayar ağlarına geldiğinde de durum değişmemektedir. Her geçen gün hızlanan bilgisayar cihazları bilgisayar ağlarını kullanmak istediklerinde en kısa sürede bilgi gönderme ve alma işlemlerini gerçekleştirebilmeleri gerekmektedir. Bilgisayar ağlarından beklenen hızlı iletişimi gerçekleştirebilmek için fiber optik sistemler sayesinde “ışık hızından faydalanılmaktadır.” Optik bir iletişim sisteminde üç önemli eleman bulunmaktadır. Bunlar sırası ile “ışık üreticisi”, “iletişim ortamı” ve gelen ışıkların “algılayıcısı” dır. Genel olarak ışığın bulunması binary “1” ve o anda ışık olmaması ise “0” olarak değerlendirilmektedir. Bir fiber kablo üç (3) kısımdan oluşmaktadır. En iç kısımda ışığın iletilmesini sağlayan “cam”, onun üzerinde “cam örtüsü” ve en dışta ise “plastik kılıf” yer almaktadır. Bu bölümde şu ana kadar bahsetmiş olduğumuz başlıca kablo türlerinin genel bir kıyaslaması Tablo 6.1’de gösterilmektedir.
OSI Katmanları Eyl 07, 2013 OSI (Open Systems Interconnection) modelini ISO (International Organization for Standardization) geliştirmiştir. Amaç iki bilgisayar arasındaki iletişimin nasıl olacağını tanımlamaktır. 1978 yılında ilk defa ortaya çıkarılan bu standard 1984 yılında yeni bir düzenleme yardımıyla OSI (Open System Interconnect) referans modeli olarak yayınlanmıştır. OSI öncesindeki dönemde, yalnızca bilgisayar donanımı üreten kuruluşlara özgü ağlar vardı. Bu ağların özellikleri, çoğunlukla yalnızca o üreticinin donanımının bağlanmasına izin verecek biçimde tanımlanmıştı. Onlardan ayrı olarak OSI, çeşitli üreticilerin ürünlerinin bağlanabileceği bir ağ için, bir sektör etkinliği olarak ortaya çıkmıştır. OSI Modeli herhangi bir donanım ya da bilgisayar ağı tipine göre değişiklik göstermemektedir. OSI'nin amacı ağ mimarilerinin ve protokollerinin bir ağ ürünü bileşeni gibi kullanılmasını sağlamaktır. OSI modeli 7 katmana ayrılmıştır.
1. Physical (Fiziksel Katman) 2. Data Link (Veri Bağlantı Katmanı) 3. Network (Ağ Katmanı) 4. Transport (Taşıma Katmanı) 5. Session (Oturum Katmanı) 6. Presentation (Sunu Katmanı) 7. Application (Uygulama Katmanı)
Katmanlar Arasındaki İlişki
Herbir katmanın görevi bir üst katmana servis sağlamaktır. İki bilgisayar arasındaki iletişimde katmanlar sırasıyla iletişim kurarlar; eş düzeydeki katmanlar aslında doğrudan iletişim kurmazlar ancak aralarında sanal bir iletişim oluşur.
İki Bilgisayar Arasındaki Katmanlar, Gerçek ve Sanal İletişim Arasındaki İlişki
Veri alt katmanlara iletilirken iletim şekli şu şekilde olur: Veri (data) halinde alınan bilgi, taşıma katmanında kesim (segment) adı verilen birimlere ayrılır. Bu şekilde veri alıcı makinede tekrar biraraya getirilirken doğru sıralanması sağlanmış olur. Ağ katmanına segment şeklinde gelen verilere burada adres bilgileri eklenir; böylece kesimler paket haline dönüşür. Veri-bağlantı katmanında paketlere MAC adresleri eklenerek çerçeve (frame) adını verdiğimiz yapı oluşur. En son aşama olarak fiziksel katmana gelen çerçeveler burada bir bit dizisine dönüştürülerek iletime hazır hale getirilir.
Verinin iletimi üst katmandan alt katmana doğru olur. Verinin kablo ile iletimi fiziksel katman tarafından gerçekleştirilir. Diğer bilgisayarda ise önce fiziksel katman ile karşılanan veri üst katmanlara doğru hareket eder.
1. Fiziksel Katman
Fiziksel katman verinin kablo üzerinde alacağı yapıyı tanımlar. Veriler bit olarak iletilir. Bu katman bir ve sıfırların nasıl elektrik, ışık veya radyo sinyallerine çevrileceğini ve aktarılacağını tanımlar. Gönderen tarafta fiziksel katman bir ve sıfırları elektrik sinyallerine çevirip kabloya yerleştirirken, alıcı tarafta fiziksel katman kablodan okuduğu bu sinyalleri tekrar bir ve sıfır haline getirir. Fiziksel katman veri bitlerinin karşı tarafa, kullanılan medya(kablo, fiber optik, radyo sinyalleri) üzerinden nasıl gönderileceğini tanımlar. Veri iletiminin mümkün olabilmesi için iki tarafın aynı kurallar üzerinde tanımlanmış olması gerekir. Hub (Göbek) 1.katmanda çalışan bir cihazdır. Bu cihazlar gelen veriyi bir takım elektrik sinyalleri olarak gören ve bu sinyalleri çoğaltıp, diğer portlarına gönderen bir cihazdır.
2. Veri Bağlantı Katmanı
Veri bağlantı katmanı fiziksel katmana erişmek ve kullanmak ile ilgili kuralları belirler. Bu katmanda Ethernet ya da Token Ring olarak bilinen erişim yöntemleri çalışır. Bu erişim yöntemleri verileri kendi protokollerine uygun olarak işleyerek iletirler. Veri bağlantı katmanında veriler ağ katmanından fiziksel katmana gönderilirler. Bu aşamada veriler belli parçalara bölünür. Bu parçalara paket ya da çerçeve (frame) denir. Çerçeveler verileri belli bir kontrol içinde göndermeyi sağlayan paketlerdir. Veri bağlantı katmanının büyük bir bölümü ağ kartı içinde gerçekleşir. Veri bağlantı katmanı ağ üzerindeki diğer bilgisayarları tanımlama, kablonun o anda kimin tarafından kullanıldığının tespiti ve fiziksel katmandan gelen verinin hatalara karşı kontrolü görevini yerine getirir.
Veri bağlantısı katmanı iki alt bölüme ayrılır: - Media Access Control (MAC) - Logical Link Control (LLC)
MAC alt katmanı veriyi hata kontrol kodu(CRC), alıcı ve gönderenin MAC adresleri ile beraber paketler ve fiziksel katmana aktarır. Alıcı tarafta da bu işlemleri tersine yapıp veriyi veri bağlantısı içindeki ikinci alt katman olan LLC'ye aktarmak görevi yine MAC alt katmanına aittir. LLC alt katmanı bir üst katman olan ağ katmanı için geçiş görevi görür. Protokole özel mantıksal portlar oluşturur(Service Access Points, SAPs). Böylece kaynak makinada ve hedef makinada aynı protokoller iletişime geçebilir(örneğin TCP/IP<-->TCP/IP). LLC ayrıca veri paketlerinden bozuk gidenlerin(veya karşı taraf için alınanların) tekrar gönderilmesinden sorumludur. Flow Control yani alıcının işleyebileğinden fazla veri paketi gönderilerek boğulmasının engellenmesi de LLC'nin görevidir.
Ağlarda bulunan çerçeve tipleri şöyledir: 802.2 Ethernet II 802.3 Ethernet
802.4 Token Bus 802.5 Token Ring
Ayrıca switch (anahtar) 2.katmanda çalışan bir cihazdır. Çünkü 2. katmanda tanımlı MAC adreslerini algılayabilirler ve bir porttan gelen veri paketini (yine elektrik sinyalleri halinde) sadece gerekli olan porta (o porttaki makinanın MAC adresini bildiği için) yollayabilirler.
3. Ağ Katmanı
Ağ katmanı veri paketine farklı bir ağa gönderilmesi gerektiğinde yönlendiricilerin kullanacağı bilginin eklendiği katmandır. Bu katmanda veriler paket olarak taşınır. Ağ katmanında iki istasyon arasında en ekonomik yoldan verinin iletimi kontrol edilir. Bu katman sayesinde verinin yönlendiriciler (router) aracılığıyla yönlendirilmesi sağlanır. Ağ aşamasında mesajlar adreslenir ayrıca mantıksal adresler fiziksel adreslere çevirilir. Bu aşamada ağ trafiği, yönlendirme gibi işlemler de yapılır. IP protokolü bu katmanda çalışır.
4. Taşıma Katmanı
Taşıma katmanı üst katmanlardan gelen veriyi ağ paketi boyutunda parçalara böler. TCP, UDP, SPX protokolleri bu katmanda çalışır. Bu protokoller hata kontrolü gibi görevleri de yerine getirir. Bu katmanda veriler kesim (segment) halinde taşınır. Taşıma katmanı üst katmanlara taşıma servisi sağlar ayrıca ağın servis kalitesini artırır (QoS – Quality of Service). Taşıma katmanı verinin uçtan uca iletimini sağlar. Verinin hata kontrolü ve zamanında ulaşıp ulaşmadığı kontrol edilir. Taşıma katmanı ayrıca veriyi üst katmanlara taşıma görevi yapar.
5. Oturum Katmanı Oturum katmanında iki bilgisayardaki uygulama arasındaki bağlantının yapılması, kullanılması ve bitilmesi işlemleri yapılır. Bir bilgisayar birden fazla bilgisayarlarla aynı anda iletişim içinde olduğunda, gerektiğinde doğru bilgisayarla konuşabilmesini sağlar. Bu, sunum katmanına yollanacak veriler farklı oturumlarla birbirinden ayrılarak yapılır. NetBIOS, RPC, Named Pipes ve Sockets gibi protokoller bu katmanda çalışır.
6. Sunuş Katmanı Sunuş katmanının en önemli görevi yollanan verinin karşı bilgisayar tarafından
anlaşılacak şekilde çevrilmesidir. Bu sayede farklı programların birbirlerinin verisini kullanabilmesi mümkün olur. Sunum katmanı uygulama katmanına verileri yollar daha sonra bu katmanda verinin yapısı, biçimi ile ilgili düzenlemeler yapılır, verinin formatı belirlenir. Ayrıca verinin şifrelenmesi, açılması, sıkıştırılması da bu katmanda yapılır. GIF, JPEG, TIFF, EBCDIC, ASCII vb. bu katmanda çalışır.
7. Uygulama Katmanı Uygulama katmanı bilgisayar uygulaması ile ağ arasında bir arabirim sağlar. OSI katmanları arasında sadece bu katman diğer katmanlara servis sağlamaz. Uygulamaların ağ üzerinde çalışması sağlanır. Uygulama katmanı ağ servisini kullanacak olan programdır. Bu katman kullanıcıların gereksinimini karşılar. SSH, telnet, FTP, TFTP, SMTP, SNMP, HTTP, DNS protokolleri ve tarayıcılar bu katmanda çalışır. E-posta ve veritabanı gibi uygulamalar bu katman aracılığıyla yapılır.
Bölüm 2
Referans Modelleri
Bölüm 2
Referans Modelleri
SAÜ, Teknoloji FakültesiBilgisayar Mühendisliği
Doç.Dr. Murat ÇAKIROĞLUwww.muratc.sakarya.edu.tr
/162
Giriş
� Bilgisayar ağları konusunda özellikle farklı şirketler tarafındanüretilen cihazlar arasında uyumluluk sağlamak için standartlargeliştirilmiştir.
� Çeşitli standartlar arasında en meşhurları� IEEE 802 komitesi tarafından geliştirilenler, Açık Sistem
Bağlantıları (Open System InterConnection-OSI) komitesitarafından geliştirilen OSI referans modeli
� Başlangıcı Amerikan Savunma Bakanlığının çalışmalarınadayanan TCP/IP referans modelidir.
� İki modelin birleşimi ile oluşan Hibrit (melez) Model
/163
OSI Referans Modeli� Farklı bilgisayar sistemlerinin birbirleri ile iletişimini bir standarda
oturtmak amacıyla geliştirilirmiştir.
� Uluslararası Standartlar Organizasyonu (ISO) tarafından 1984yılında ortaya çıkartılmıştır.
� OSI modelinde, 2 bilgisayar arasında yapılacak olan iletişimproblemini çözmek için 7 katmanlı bir ağ sistemi önerilmiştir
UYGULAMA (APPLICATION)
SUNUM (PRESENTATION) KATMANI
OTURUM (SESSION)
TAŞIMA (TRANSPORT) KATMANI
AĞ (NETWORK)
VERİ BAĞI (DATA LINK) KATMANI
FİZİKSEL (PYHSICAL)
/164
OSI Referans Modeli
� 7 katmanlı ağ modelinin sağladığı faydalar.
� Karmaşıklığı azaltarak, insanların belli katmanların işlevlerineyoğunlaşarak uzmanlaşmasına yardımcı olur.
� Farklı donanım ve yazılım ürünlerinin birbiriyle uyumluçalışmasını sağlar.
� Farklı uzmanlığı olan kişilerin işbirliği yapmasını veya görevpaylaşımı ile ortaklaşa çalışmasını kolaylaştırır.
� Bir katmanda yapılan değişikliklerin diğer katmanlarıetkilemesini önler.
� Katmanların işlevlerinin öğrenilmesi kolaylaştırır.
� Problem tespitini ve çözümünü kolaylaştırır.
/35
Uygulama
Sunum
Oturum
Taşıma
Ağ
Veri iletim
Fiziksel1
2
3
4
5
6
7
Terminal A Terminal B
Uygulama
Sunum
Oturum
Taşıma
Ağ
Veri iletim
Fiziksel1
2
3
4
5
6
7
OSI Referans Modeli
/35
OSI Referans Modeli
/167
OSI Katmanları - Fiziksel Katman
� Bilgilerin fiziksel olarak gönderilmesi ve alınmasından sorumlukatmandır.
� Fiziksel iletişimi başlatır, yönetir, sona erdirir.
� Elektriksel bağlantılar ve sinyallerden oluşur.
� Ağı oluşturmada kullanılan tekrarlayıcılar ve hublar bu katmandaçalışırlar.
� İşaretin şekli, konnektör türü, kablo türü, Modülasyon tekniği,iletişim ortamı, çalışma gerilimi, iletim frekansı vb. özellikler fizikselkatmanda belirlenir.
� Fiziksel katmanda donanımsal olarak çalışır.
/168
OSI Katmanları – Veri Bağı Katmanı
� Bir noktadan di ğerine hatasız veri aktarımından sorumludur.
� Ağ katmanından aldığı veri paketlerine hata kontrol bitleriniekleyerek çerçeve (frame) halinde fiziksel katmana iletir.
� Fiziksel katman üzerinden alınan mesajların ise alıcı tarafındadoğru alınıp alınmadığının kontrolünü yapar.
� Mesaj alıcı tarafından doğru alınmadı ise, yeniden gönderilmesiişlemlerini gerçekleştirir.
� Tüm işlemleri yürütmek için iki alt katmana sahiptir� Ortam erişim Kontrol (MAC) alt katmanı� Mantıksal Bağlantı Kontrol (LLC ) alt katmanı
� Köprüler ve anahtarlar bu katmanda çalışırlar.
/169
OSI Katmanları – Ağ Katmanı
� Bağlantıyı sağlayan ve ulaşılmak istenen bilgisayara giden yolubulan katmandır.
� Yönlendirici (Router) olarak isimlendirilen ara bağlaşımelemanları bu katmanda tanımlıdır.
� Bilgi paketlerini bir uçtan diğer uca ağdaki çeşitli düğümlerüzerinden geçirilip alıcısına ulaşmasını sağlayan işlevlere sahiptir.
� Veri paketinin alıcısına giderken ağ koşullarına, önceliklere vediğer parametrelere göre hangi yolun uygun olacağı bu katmandadeğerlendirilir.
/1610
OSI Katmanları – Ulaşım Katmanı
� Uçtan uca mesajların güvenli iletilmesinden sorumludur.� Büyük boyutlu paketleri hattın durumuna uygun olarak küçük
parçalara (segment ) ayırır.� Her bir parçaya sıra numarası verilerek eksik parçaların alıcı
tarafında tamamlanması sağlayarak parçaları birleştirir.
� Tıkanıklık kontrolü sağlar.
132
Paket 2 nerede ?
2?
/1611
OSI Katmanları – Oturum Katmanı
� Uç düğümler arasında gerekli oturumun kurulması, yönetilmesi vesonlandırılması işlemlerini içerir.
� Oturum katmanın verdiği hizmetlerden biri, diyalog kontrolüdür.
� Oturumlar, veri akışının ya iki tarafa da aynı ana olmasına (fulldublex), ya da tek yönde olmasına izin verirler.
� Bilgi akışının tek yöne doğru olması durumunda iletim sırasındakimde olduğuna oturum katmanında bulunan işlemler karar verir.
� Oturum katmanında gerçekleştirilen işlemlerden (hizmetlerden) birdiğer, senkronizasyondur.
� Farklı protokoller kullanan makinelerin bağlantı kurmalarındaortaya çıkan uyumsuzluk problemlerini ortadan kaldırır.
/1612
OSI Katmanları – Sunum Katmanı
� Sunu katmanı, oturum katmanından gelen bilginin uygulamakatmanına iletilmesinden sorumludur.
� Diğer bir deyişle, kullanıcı programları ile ağ arasındaki yüksekseviyeli iletişim arabirimidir.
� Bilgi üzerinde yapılabilecek her çeşit işlem bu katmandagerçekleştirilir. Sunu katmanı bilginin sıkıştırılması, şifrelenmesiveya başka formata çevrilmesi işlemlerini içerir.
� Sıkıştırma/açma, kodlama/kod çözme, EBCDIC-ASCII dönüşümüve ters dönüşümü gibi işlevlerin yerine getirilmesini sağlar.
� Sunu katmanı, kontrol kodlarının özel grafik ve karaktertablolarının bulunduğu yerdir. Sunu katmanı yazılımı, yazıcıların,çizicileri ve diğer aygıtları kontrol eder.
/1613
OSI Katmanları – Uygulama Katmanı
� En üst katmanda bulunan uygulama katmanı; kullanıcıya hizmetveren, ağ işletim sistemi ve uygulama programlarının bulunduğukatmandır.
� Dosya paylaşımından, yazılacak iş birikimlerine, elektronikpostadan veri tabanı yönetimine kadar olan bütün işlemler bukatmanda yapılır.
� Ağ yönetimi istatistikleri, arıza ve benzeri durumların izlenmesiişlemleri, sunu katmanı içerisinde değerlendirilen yazılımlar ilegerçekleştirilebilir.
� Uygulama katmanı kullanıcının çalıştıracağı ağ servislerini sağlarve kullanıcıya en yakın olan katmandır.
� Kullanıcı tarafından çalıştırılan tüm uygulamalar bu katmandatanımlıdırlar.
/1614
TCP/IP Referans Modeli� OSI modelindeki 7 katmana karşılık TCP/IP modelinde 4 katman
belirlenmiştir.
� OSI modeli daha çok iletişimde standardı belirtmekle TCP/IP isedaha çok uygulamaya yönelmektedir.
� TCP/IP ve ilgili protokollerin kullanımı hızla artmaktadır.
� Bu da TCP/IP’nin OSI modeline göre daha uygulanabilir birmodel olduğunu göstermektedir.
� TCP/IP modeli bir çok protokolün toplandığı bir protokollerailesidir.
� En önemli protokoller TCP (transmission control protokol) ve IP(Internet protokol) olduğu için model bu protokollerin isminialmıştır.
/1615
TCP/IP Referans Modeli� OSI modelindeki 7 katmana karşılık TCP/IP modelinde 4 katman
belirlenmiştir.
Uygulama
Sunum
Oturum
Taşıma
Ağ
Veri İletim
Fiziksel
Ağ
Fiziksel
Taşıma
Uygulama
IP
WAN
TCP UDP
Telnet FTP DNS
ICMP
LAN
OSI TCP/IP
/1616
Hibrit Referans Modeli
VİZE SONRASI 1- Ağ Cihazları
İki bilgisayarı birbirine bağlayarak küçük bir ağ oluşturulmaya çalışıldığında
ihtiyaçlar; her iki bilgisayar için ağ adaptörü ve bunları birbirine bağlayacak bir kablo ile
sınırlıdır. Ancak ağ genişlemeye başladığında bir bilgisayara takılacak ağ adaptörü sayısı gibi
bazı kısıtlamalar ortaya çıkar. Bu tür de kısıtlamalar hub, switch ve router gibi farklı amaçlar
için kullanılan ağ cihazları sayesinde aşılır.
Repeater
Ağda kullanılan kabloların, elektronik sinyalleri iletebilecekleri maksimum uzaklıklar
vardır. Örneğin UTP kablolar sinyali 100 metre taşıyabilirler. Daha uzağa veri taşınması
gerekiyorsa “Repeater” cihazı kullanılır. Repeater, azalan sinyal seviyesini yükselterek daha
uzun mesafelere verinin taşınmasını sağlar.
Hub
Hub’ın görevi sinyalleri güçlendirip, kabloya iletmektir. Bu tanımıyla repeater’a çok
benzemektedir.
Hub’ın repeater’dan farkı, daha çok portu olması ve daha çok bilgisayarın iletişimini
sağlamasıdır. Bu yüzden hub’a “Çok Portlu Repeater” da denir.
Hub, star topoloji kullanılan ağlarda tüm bilgisayarların bağlı olduğu merkezi cihazdır.
Hublar, her bilgisayar için bir porta sahiptir, dolayısıyla port sayısı, bağlayabileceği bilgisayar
sayısını belirler. Ancak hub’lar başka hub’lara bağlanarak ağ genişletilebilir.
Hub’ın dezavantajı, kendisine gelen sinyali tüm portlarına iletmesidir. Bu durum
gereksiz ağ trafiği oluşturur ve güvenlik açıklarına sebep olur.
Hublar “Active” ve “Passive” olmak üzere ikiye ayrılır.
Active Hub: Sinyalleri güçlendirebilen hub’lardır. Enerjilerini bir güç kaynağından
alırlar. Piyasada kullanılan hub’ların hemen hepsi “active”dir.
Passive Hub: Sinyalleri güçlendiremeyen hub’lardır. Sadece bir kaç bilgisayarı
bağlamak için kullanılabilirler.
Bridge
Bridge’ler iki LAN segmentini birbirine bağlayan L2 cihazlardır. İki LAN arasındaki
gereksiz trafiği filtrelerler. Bridge, her iki tarafındaki bilgisayarların MAC adreslerini
hafızasında saklar. Bu da bridge’in, veriyi alacak olan bilgisayarın ne tarafta olduğunu
bilmesini sağlar. Günümüz ağlarında bridge’ler önemini yitirmiştir. Bridge yerine switch ya
da router kullanılmaktadır.
Switch
Bridge’ler gibi L2 cihazlardır. Kendisine bağlı olan bilgisayarların MAC adreslerini
bilir ve buna göre anahtarlama yapar. Bridge’den farkı, daha çok portunun olması ve kullanım
alanıdır. Switch sadece ağ segmentlerini değil, doğrudan bilgisayarları bağlamak için de
kullanılabilir. Star topoloji kullanan ağlarda merkezi cihazdır. Fakat hub gibi, sinyali tüm
portlarına değil de sadece ilgili bilgisayara iletir. Gereksiz ağ trafiği oluşturmadığı için hemen
her ağda tercih edilir.
Router
OSI Referans Modelinin 3. katmanında çalışırlar. Sadece MAC adreslerine göre değil,
aynı zamanda IP ağlarına göre de anahtarlama yaparlar. Router’ın ağdaki rolü, bir IP paketini,
bir IP ağından bir başkasına yönlendirmektir. Bu yüzden router’lar geniş ağlar ve internet için
vazgeçilmez cihazlardır. Yaptıkları yönlendirme işlemi sayesinde farklı IP ağlarının
haberleşebilmesini sağlarlar.
Router’ın işi, kendisine gelen IP paketlerini inceleyip, hedeflerine en kısa sürede
ulaşabilmeleri için gerekli yolun seçimini yapmaktır. İnternet erişimi sağlamak ve uzak
noktalardaki LAN’ları haberleştirmek için kullanılırlar.
Firewall
Ağı, internetten gelme ihtimali olan zararlı verilere karşı korur. Aynı router cihazları
gibi IP paketlerini yönlendirme işlemi yapar. Bu yönlendirme işlemi sırasında paketin
tamamını inceleyerek zararlı olup olmadığını kontrol eder. Firewall’lar bu inceleme işlemini
yöneticisinin yapılandırması doğrultusunda yapar. Yazılımsal ve donanımsal olmak üzere iki
şekilde edinilebilir. Güvenliğin çok önemli olduğu günümüz bilgisayar ağları için
vazgeçilmez cihazlardan biridir.
2- TCP/IP MODELİNDE BULUNAN PROTOKOLLER
Ağ üzerinde iki bilgisayarın karşılıklı veri aktarabilmesi ve süreçler (processes)
yürütebilmesi için bilgisayarların birlikte çalışabilme (interoperability) yeteneğinin olması
gerekir. Birlikte çalışabilme, verici ve alıcı arasında kullanılacak işaretler, veri formatları ve
verinin değerlendirme yöntemleri üzerinde anlaşmayla mümkün olur. Bunu da sağlayan
kurallar dizisi protokol olarak adlandırılır.
Protokol, ağın farklı parçalarının birbiriyle nasıl etkileşimde ve iletişimde
bulunacağını belirler. Standartlar ise her üreticinin uyduğu ortak tanımlamalardır. Verinin ağ
içerisinde bir yerden başka bir yere hareket etmesi için ağ içerisindeki tüm cihazların aynı dili
konuşması veya protokolü kullanması çok önemlidir. Protokol, ağ içerisindeki iletişimi
sağlıklı bir şekilde yapmak için gereken kuralların tümüdür. Bir pilotun uçağını uçururken
diğer uçaklar ile veya hava kontrol kulesiyle iletişim sağlaması için kullandığı özel bir dil
gibi.
TCP/IP Katmanları
Uygulama programlarının bulunduğu katman sayılmaz ise dört katman vardır. Bunlar;
uygulama, ulaşım, yönlendirme ve fiziksel katmanlardır (Şekil 1.1).
Uygulama katmanında SMTP (Simple Mail Transfer Protocol-Basit Posta Aktarım
Protokolü), TELNET (Telecommunication Network-İletişim Ağı), FTP (File Transfer
Protocol-Dosya Aktarım Protokolü), SNMP (The Simple Network Management-Basit
Ağ Yönetim Protokolü), (Remote Login Uzaktan Erişim) gibi protokolleri vardır.
Ulaşım katmanında TCP (Transmission Control Protocol-İletişim Kontrol Protokolü)
ve UDP (User Datagram Protocol-Kullanıcı Veri Bloğu İletişim Protokolü)
protokolleri.
Yönlendirme katmanında IP (Internet Protocol-İnternet Protokolü), ICMP (Internet
Control Management Protocol- İnternet Kontrol Yönetim Protokolü) protokolleri
vardır.
Fiziksel katmanda ise gelen bilgileri iletim ortamına aktarmakla görevli protokoller
olan Ethernet, switch, X25 gibi protokoller vardır.
SMTP (Simple Mail Transfer Protocol-Basit Posta İletim Protokolü): Elektronik
posta iletimi SMTP protokolünü kullanarak bilgisayarlar arasında veri alışverişini
gerçekleştirirler. Elektronik postaların güvenli bir şekilde adreslerine ulaşabilmesi için TCP
servislerinden yararlanır. Oluşturulan elektronik posta mesajlarının standart olarak dizayn
edilmiş formatı vardır. Mesajların iletimi sırasında bu formata uyması gerekir. Bu uyum
istemci ve sunucu arasında elektronik posta veri iletiminin kolaylıkla yapılmasını sağlar.
SMTP, iletim sırasında uygulanacak olan kurallar sırasını belirler. Elektronik postaların
sunucularda saklanış şekli, depo alanının ne kadar sıklıkla kontrol edilmesi gerektiğini
belirten detaylarla ilgilenmez. Elektronik postaların iletimi ASCII metin modundadır.
Protokolün istemci ve sunucu arasında veri alışverişi ve senkronizasyonu sağlayan komutları
da okunabilir, açık yazı türündedir.
SNMP (Simple Network Management Protocol-Basit Ağ Yönetim Protokolü) :
Ağ içerisinde bulunan yönlendirici, anahtar ve HUB gibi cihazların yönetimi için kullanılır.
SNMP desteği olan ağ cihazları SNMP mesaj alış verişiyle uzaktan yönetilebilir. Bunun için
cihazlarda SNMP parçası (agent) olmalıdır. SNMP farklı türdeki makinelerin kolaylıkla
yönetilmesi ve sorunlar hakkında bilgi edinilmesi amacı ile tasarlanmıştır. Farklı türde
aletlerin yaptıkları farklı görevleri vardır. Bir yönlendirici yönlendirdiği datagramların (bilgi
miktarı) , iletilen, iletilmeyen paketlerin sayısı ve buna benzer bilgileri depolarken, yazıcı
kartuşun durumu, modem aldığı karakter sayısını, bağlantı hızı gibi bilgileri kayıt eder.
Yönetim merkezi hangi aygıttan kesin olarak ne tür bilgi alacağını tam olarak bilemez. Bu
nedenle bilgilerin depolandığı standart bir yapı geliştirilmiştir. SNMP kullanım alanı sadece
TCP/IP ağları ile sınırlandırılmamıştır. Aynı zamanda IPX, AppleTalk ve OSI desteği de
mevcuttur.
TELNET (Telecommunication Network-İletişim Ağı): Kullanıcının, bir başka
makineye sanki o makinenin istasyonuymuş gibi bağlantı kurmasını sağlayan protokoldür.
TCP/IP protokolünü kullanan uygulamalardan bazıları kullanıcılara uzakta olan bilgisayara ağ
üzerinde oturum açmalarına olanak sağlar. TELNET protokolü TCP bağlantısı yapılarak
oturum açılan bilgisayar üzerinde sanal klavye kullanılmasına izin verir. Protokol bilgisayar
üzerinde komutları işleterek sunucudan aldığı çıktıların istemcinin ekranı üzerinde
görüntülenmesine imkân sağlar. TELNET temel olarak üç prensip üzerine kurulmuştur.
NVT(Sanal Ağ Terminali), istemci-sunucu TELNET protokol tercihlerinin uzlaşması ve
terminallerin simetrik çalışması. Protokol, bağlantı sırasında kullanılan mesajların
şifrelenmemesi, paketlerin iletimi sırasında arada yer alan, iletim vazifesi gören aygıtları
kullanan insanların iletilen verileri kolayca okuyabilmesine izin vermesi nedeni ile güvenlik
zafiyetlerine açıktır.
Protokol tasarım yapısı itibari ile “ oturum ele geçirme” saldırılarına karşı son derece
zayıftır. TELNET sağladığı hizmet avantajları sayesinde kullanıcılar arasında son derece
popülerdir. NVT (Sanal Ağ Terminali) özelliği sayesinde istemciler bağlandıkları
bilgisayarların mimarisi hakkında fazla bilgiye ihtiyaç duymaz. Kullanıcılar, TELNET
protokol tanımı içerisinde yer alan düzenlemeler sayesinde uzaktaki bilgisayarlara kolaylıkla
hükmedilebilir.
TELNET protokolü istemci ve sunucu arasında verinin iletim şekli, kullanılan
karakterlerin yapısı (8 bit karakter modu veya 7 bit ASCII) hakkında anlaşma yapılmasına
izin verir. Bu sayede iletilen verilerin türü konusunda meydana gelecek olan hataların önüne
geçilmiş olur. TELNET protokolü terminal ve uygulamalar (process) arasında simetrik
görünüm sağlar. TELNET bağlantısı kuracak olan bilgisayar, sunucu ile TCP bağlantısı kurar.
Bağlantının kurulması ile birlikte istemci klavyeden aldığı tuş basım verilerini sunucuya iletir.
Sunucunun aldığı veriler daha sonra istemcinin monitöründe eko şeklinde
görüntülenir.
FTP (File Transfer Protocol-Dosya İletim Protokolü): Bir bilgisayardan başka bir
bilgisayara bağlanarak dosya aktarımını sağlar. İnternet üzerindeki iki sistem arasında dosya
aktarımı için kullanılan temel protokoldür. TCP/IP mimarisi geliştirilmeden önce de
kullanılan bir protokol olan FTP, zaman içerisinde değişimlere uğrayarak günümüzde
kullanılan şeklini almıştır. FTP protokolü TCP tabanlıdır. TCP protokolü sayesinde bağlantı
kurulmuş olan iki nokta arasında güvenli veri alışverişi sağlanır. Protokol sayesinde
tanımlanan erişim yetki sınırlamaları, isimlendirme, farklı işletim sistemleri tarafından
kullanılabilme, veri gösterim çeşitliliği gibi etmenler protokolü karmaşık bir hâle getirir. FTP
kullanıcı ile sunucu arasında görsel iletişim sunar. Her ne kadar sadece dosya transferi için
tasarlanmış olsa da kullanıcının dosyaların listelenmesi, kullanılabilecek komutların
gösterilmesi gibi isteklerine cevap verir. FTP, dosya içerisinde yer alan verinin türünün
kullanıcılar tarafından tayin edilmesine imkân sağlar. Dosyalar içerisinden açık yazı içeren
dokümanlar (ASCII) ya da sayısal veriler (EBCDIC) barındırabilirler. FTP protokolü
kullanıcıların kullanıcı ismi ve şifre kullanarak sisteme giriş yapmalarına imkân sağlar.
Kullanıcılar istenen kriterleri yerine getirdikten sonra dosya transfer işlemlerini başlatabilirler.
İnternet üzerinde aktif olarak çalışan protokollerin işlemesini sağlayan sunucular birden fazla
istemciden gelen istekleri cevaplamak üzere tasarlanmıştır. FTP istemcileri TCP protokolünü
kullanarak FTP sunucularla bağlantı kurarlar. Sunucu çok sayıda istemciden gelen istekle baş
etmek amacıyla kendi kopyalarını oluşturur. Oluşturulan kopyalar yapılması gereken tüm
işlemleri yerine getiremezler. Sadece istemcilerle arasındaki kontrol bağlantıları ile ilgilenir.
Bağımsız dosya transferleri sağlamak amacıyla birden fazla sayıda süreç oluştururlar. FTP
sunucuları 21 numaralı TCP portundan istemcilerden gelen bağlantı isteklerini dinlerler. Port
numarasını alan sunucu 20 numaralı TCP portu üzerinden istemci ile bağlantıya geçerek veri
transferini başlatır. Dosya transferi sona erdiğinde bağlantı sonlandırılır.
NNP (Network News Transport Protocol-Ağ Haberleri Protokolü): USENET
(Dünya üzerindeki milyonlarca ağ kullanıcısının çok değişik konularda haberler, yazılar
gönderdiği bir tartışma platformu) postalanma hizmetinin yürütülmesini sağlar.
HTTP (The Hypertext Transfer Protocol-Hiper Metin İletişim Protokolü): Web
istemci programları ile sunucuların iletişim kurmasını sağlar. http protokolü istemcileri “ağ
tarayıcısı” (web browser) olarak adlandırılır. Protokol genel olarak dokümanları sunuculardan
talep eden, sunucuya bilgi gönderilmesini sağlayan komutları tanımlar. İstek-cevap sistemi ile
çalışır. Web istemci programı ile sunucu arasında TCP bağlantısı sağladıktan sonra istemci
istek mesajını sunucuya iletir. Sunucu bu isteğe karşılık cevap gönderir. Bu istek-cevaplar
komutsal tabanlıdır. Protokol, sunucuya istemci tarafından iletilen her istek mesajı birbirinden
bağımsız olacak şekilde tasarlanmıştır.
Protokol iki yönlü veri alışverişine izin verir. Sunucudan istemciye dosya transferine
izin verdiği gibi istemciden sunucuya dosya transfer edilmesine de imkân sağlar. HTTP
protokolü yazılı ve görsel iletişimi hedef alması itibarı ile sunucu ve istemci arasında karakter
uyumunu da gözetmek zorundadır. İstemci ve sunucu veri alışverişi sırasında iletilen karakter
türleri arasında uzlaşma sağlarlar. Protokol daha hızlı yüklemeyi sağlamak amacıyla
sunuculardan elde edilen verilerin bir dizin altında depolanmasına izin verir. İstemci aynı
sayfayı yeniden almak istediği zaman sunucu ile istemci arasında talep edilen sayfanın
güncellenip güncellenmediğine dair iletişim kurulabilir. Güncelleme olmadığının tespit
edilmesi durumunda depo alanından eski bilgi yeniden yüklenir. İstemci ve sunucular
arasında köprü vazifesi görürler.
TCP (Transmission Control Protocol-İletim Denetim Protokolü): TCP protokolü,
bağlantılı ve güvenli veri akışını sağlayarak iletim katmanına çok önemli hizmetler sunar.
Çoğu uygulama kendi veri iletişim kontrol mekanizmasını oluşturmaktansa TCP
protokolünün sağlamış olduğu hizmetleri kullanır. TCP sunduğu hata denetimi, veri akış
kontrolü gibi hizmetler sayesinde kendisini kullanan uygulamalara tatmin edici düzeyde
güvenlik, hata denetimi ve akış kontrolü sağlar.
TCP Protokolünün Özellikleri
Bağlantı noktaları arasında veri iletişimini sağlaması.
Güvenli veri iletimi sağlanması.
Bağlantıda olan iki bilgisayar arasında akış kontrolü sağlaması.
Çoklama (Multiplexing) yöntemi ile birden fazla bağlantıya izin vermesi.
Sadece bağlantı kurulduktan sonra veri iletimi sağlaması.
Gönderilen mesaj parçaları için öncelik ve güvenlik tanımlaması
yapılabilmesi.
UDP (User Datagram Protocol): İletim katmanında tanımlı tek protokol TCP
değildir; UDP de bu katmanda tanımlıdır. UDP protokolü, bilgisayar ağları arasında
paketlerin değişimine imkân sağlamak için tasarlanmıştır. UDP protokolü TCP gibi altyapı
olarak IP datagramları kullanır, IP datagramlar içerisinde kapsüllenir. Veri akış kontrolünü
sağlayacak, datagramlar arasında iletilirken kendi içerisinde meydana gelecek hataları
belirlemek için kullanacağı herhangi bir mekanizması yoktur. Protokol datagramların
iletilmesini garanti etmez; IP datagram içerisinde kapsüllenmiş UDP mesajının bir defadan
fazla taşınmamasını sağlayamaz. TCP protokolü gibi bağlantı tabanlı değildir.
Uyarlama (Version): O anda kullanılan IP uyarlamasını gösterir. Farklı uyarlamada
başlıktaki alanların yerleri değişiklik gösterdiğinden, paketin doğru yorumlanması için
kullanılır.
Başlık Uzunluğu (IP Header Length): Datagram başlığının gerçek uzunluğunu
gösterir.
Hizmet Türü (Service Type): Datagramın nasıl yönlendirileceğini belirler.
Yönlendirilmesinde yapılan yol seçiminde ve bağlantıda kullanılır. Datagramlara bu alan
aracılığıyla önem düzeyi atanabilir.
Toplam Uzunluk (Total Length): Tüm IP paketinin (başlık ve veri dâhil)
uzunluğunu belirtir.
Kimlik Saptaması (Identification): Kullanıcı karşı tarafla etkileşim içindeyken,
mesajlar parçalanarak bir çok datagram içinde gönderilebilir. Bu alan, aynı kullanıcı
mesajının farklı datagramlar içinde bulunması durumunu açıklayan kimlik bilgisini içerir.
Bayrak Bitleri (Flags): Parçalama (Fragmentation) kontrolünde kullanılır. Bir
datagram parçalanıp parçalanmadığı, onun parçalanma izninin olup olmadığı gibi bilgilere ait
kodlar taşır. Üç tane olan bayrak bitlerinden ilki (D biti), içinde bulunduğu datagramın kaç
parçadan oluştuğunu belirtir. Eğer 1 ise gönderilen verinin tek datagramdan oluştuğu anlaşılır;
alıcıya başkası yok bekleme anlamında mesaj iletir. İkinci bayraksa, parçalanıp birçok
datagram hâlinde gönderilen verinin en son olduğunu belirtir. Üçüncüsü, saklı tutulmuştur.
Yaşam Süresi (Time to Live): Datagramın ağ üzerinde dolaşan sürecini belirtir.
Verici tarafında yerleştirilen dolaşma değeri her düğümden geçerken azaltılır; sıfıra ulaşırsa
kaybolmuş olduğu varsayılarak datagram ağdan çıkarılır.
Protokol (Protocol): Bir datagramın hangi üst katman protokolüne ait olduğunu
belirtir. Alıcı tarafın IP katmanı bu alana bakarak paketi bir üstünde bulunan protokollerden
hangisine iletileceğini anlar.
Başlık için Hata Sınama Bitleri (Header Checksum): Datagram başlık kısmının
hatasız iletilip iletilmediğini sınamak için kullanılır.
Gönderici IP Adresi (Source Address): Datagramın gideceği yerin internet adresi
yerleştirilir.
Seçenekler (Options): Bu alan değişik amaçlar için kullanılır. Güvenlik, hata
raporlama vs. seçimliktir. Ancak kullanılırsa 32 bitin katları uzunlukta olmalıdır.
TCP Segmenti: Bir üst katmandan gelen veriyi içerir.
ICMP (Internet Control Message Protocol): ICMP kontrol amaçlı bir protokoldür.
Genel olarak sistemler arası kontrol mesajları IP yerine ICMP üzerinden aktarılır. ICMP, IP
ile aynı düzeyde olmasına karşın aslında kendisi de IP’ yi kullanır. ICMP mesajları, IP
üzerinden gönderilir. ICMP mesajlarının amacı haberleşme sırasında meydana gelebilecek
problemler hakkında yönlendiricilere veya datagramları oluşturan bilgisayarlara bilgi
vermektir. ICMP protokolü, internet protokolünü daha güvenli hâle getirmez. Sadece
datagram iletimi sırasında meydana gelen hataların sebepleri ile ilgili bilgi sağlar. Aşağıdaki
şekilde ICMP formatını görmektesiniz:
VERİNİN GİYDİRİLMESİ
3- LAN Teknolojileri
Ethernet (IEEE 802.x)
CSMA/CD
Fast Ethernet
Gigabit Ethernet
Jetonlu Halka(Token Ring)
Jetonlu Halka(Token Bus)
ATM
FDDI LAN
4- GENİŞ ALAN AĞLARI
Sınıflandırma Bağlantı Durumuna göre
Noktadan noktaya
Çoklu bağlantı teknolojisi
Anahtarlama Yöntemine göre
Devre anahtarlama
Paket anahtarlama
Hücre anahtarlama
Topolojik Yapışma göre
Hiyerarşik topoloji
Örgü topoloji
Teknolojiler
•Modem(dial-up)
•Kiralık hat
•X.25
•Frame Relay (FR)
•ISDN
•xDSL
•ATM
•SMDS
5- IP Adresleme
IP adresi, ağ üzerinde bulunan makinenin adresini ifade eder. Bu adres ile bir makine
diğerlerine ulaşma imkânı bulur. Ağ üzerinde bulunan herhangi bir bilgisayarı ifade etmek
için 32 bitlik bir IP adresi kullanılır. TCP/IP protokolü kullanılan bir ağda her bilgisayarın
mutlaka bir IP adresi olmak zorundadır. IP adreslerinin atanması son derece kolay bir işlem
olmasına karşın bu adresler atanırken göz önünde bulundurulması gereken birkaç önemli
husus vardır. Atanan IP adreslerinin ağ içerisinde “eşinin” bulunmaması gerekir. Bununla
birlikte atanan IP adresleri aynı ağ üzerinde bulunan diğer birimlerle tutarlılık göstermelidir.
IPv4 Adresleme
IPv4 (32 bit) ve IPv6 (128 bit) olmak üzere iki çeşit IP adresi vardır. Günümüzde
yaygın olarak 32 bitlik (IPv4) adresleme mekanizması kullanılmaktadır. İnternetin
yaygınlaşması ve IPv4 adreslerinin çok hızlı tükenmesi ile birlikte IPv6 adreslerinin
kullanılmasına yönelim hız kanacaktır. IPv6 işlevselliği, kullanım kolaylığı sayesinde büyük
faydalar sağlayacaktır.
32 bitlik bir IP adresi 8 bitlik dört oktet hâlinde ifade edilir. Bunun sebebi, ise
okumayı kolaylaştırmak içindir. Adresleme için toplam 32 bitimiz varsa 232 = 4 milyar 294
milyon 967 bin 196 tane bilgisayar adreslenebilir. Ancak bu gerçekte böyle değildir. 32 bitlik
bir adres, diyelim ki, 10000100.00011011.00001100.00001100 (194.27.12.12) şeklinde ifade
edilmiş olsun.
Bu adresin okunması için ikilik sistemde bir okuma gerekmektedir, ancak bu şekilde
de okuma oldukça zor olduğunda yazdığımız adres onluk sisteme çevrilerek 194.27.12.12
şekline dönüşür ve bu tür bir ifadeye noktalı yazım (dotted decimal notation) denir. Nokta ile
ayrılan kısımların her biri 0 ile 255 arasında bulunan birer tamsayı olmak zorundadır.
IP adresleri ağ numarası (Net ID) ve bilgisayar numarası (Host ID) olmak üzere iki
bölümden oluşur. “Net ID” bilgisayarın bulunduğu ağı belirtirken, “Host ID” ağ içerisinde
bilgisayarların birbirlerinden ayrılmasını sağlayan değerleri barındırır. IPv4 bugün var olan
internet ağının ana halkası olarak yerini almıştır. Günümüz interneti IP protokolünün
4.sürümü(IPv4) üzerine kurulmuş ve IPv4 tablo 2.1’de görüldüğü gibi sınıf sistemine dayalı
bir sözleşmedir.
IP Adres Sınıfları
İnternete bağlı büyüklü küçüklü binlerce ağ vardır ve bu ağlar için gerekli IP adresleri
sayısı birbirinden oldukça farklı olabilmektedir. Adres dağıtımını ve ağlara atanan adreslerin
ağ aygıtlarına yerleşimini kolaylaştırmak amacıyla IP adres alanı alt kümelere bölünmüştür,
yani sınıflandırılmıştır. Beş temel sınıflama vardır ve bunlar A,B,C,D ve E sınıfı adresler
olarak adlandırılır. Bunlardan hangisinin gerektiğini doğrudan bu adreslerin kullanılacağı ağın
büyüklüğü belirler.
Adresler iki parçaya ayrılır; parçanın soldaki kısmı ağ adresi, sağdaki kısım ise sistem
adresi olarak adlandırılır. Ağ adresleri yönlendiriciler için daha anlamlıdır. Tüm yönlendirme
işlemleri ağ adreslerine bakılarak yapılır. Şekil 2.2’de sınıflanmış bir ağın ayrılmış hâli
görülmektedir.
Sınıflamalı adreslemede 32 bitlik adresin kaçar bitinin ağ ve sisteme ait olduğunu
belirlemek için ağ maskesi kullanılır. Ağ maskesi IP adresiyle mantıksal VE işlemine tabi
tutulur ve sonuç ağ adresini verir. Mesela, 167.34.1.1 IP adresine ve 255.255.0.0 ağ
maskesine sahip bir bilgisayarın VE işleminden sonra ağ adresi 167.34.0.0’dir.
Sınıflamalı adreslemede IP adresleri A,B,C,D ve E şeklinde ayrılır.
A Sınıfı: 001.hhh.hhh.hhh’dan 126.hhh.hhh.hhh’a kadar
B Sınıfı: 128.001.hhh.hhh’dan 191.254.hhh.hhh’a kadar
C Sınıfı: 192.000.001.hhh’dan 223.255.254.hhh’a kadar
D Sınıfı: 224.000.000.000’dan 239.255.255.255’a kadar
A Sınıfı Adres
A sınıfı adres 16 milyon kullanıcı adresi barındıran geniş ağlar için kullanılan adres
sınıfıdır. Sadece ilk oktet ağı temsil eder diğer üç oktet kullanıcıları temsil eder. İlk bit her
zaman “0” dır. 127.0.0.0 adresi haricinde her adresi kullanabilir. Bu adres ise makinelerin
kendilerine paket göndererek test amaçlı kullanılır.
1.2.3.2. B Sınıfı Adres
B sınıfı adres 4 oktetin ilk ikisini kullanarak adresleme yapan sınıftır. İlk oktetin ilk iki
biti her zaman “10” dır. Buda 128 ile 191 arasındaki adresleri kullanabileceği anlamına gelir.
B sınıfı her biri 65 534 bilgisayar içeren 16 382 tane alt ağa izin verir. Bu tür adres alanı
büyük ve orta büyüklükte ağlar için kullanılır. Birçok büyük üniversite ve ISS’ ler bu tür
adres alanına sahiptir.
1.2.3.3. C Sınıfı Adres
C sınıfı adres küçük ağlar için kullanılır. En fazla 254 kullanıcılı ağlar içindir. İlk
oktetin ilk üç biti “110” dır. 192 ile 223 arasını kullanabilir.
1.2.3.4. D ve E Sınıfı Adres
D sınıfı adreste ilk dört bit “1110” dır. 224 ile 239 arasını kullanabilir. IETF (Internet
Engineering Task Force) E sınıfı adresleri kendi özel araştırmaları için kendilerine
ayırmışlardır. E sınıfı adres internette kullanılamaz. 240 ile 255 arası bu adres sınıfı için
ayrılmıştır.
Genel ve Özel IP adresleri
İnternet adreslemesinde 0 ve 255'in özel bir kullanımı vardır. 0 adresi, Internet
üzerinde kendi adresini bilmeyen bilgisayarlar için (Belirli bazı durumlarda bir makinenin
kendisinin bilgisayar numarasını bilip hangi ağ üzerinde olduğunu bilmemesi gibi bir durum
olabilmektedir) veya bir ağın kendisini tanımlamak için kullanılmaktadır (144.122.0.0 gibi).
255 adresi genel duyuru "broadcast" amacı ile kullanılmaktadır. Bir ağ üzerindeki tüm
istasyonların duymasını istediğiniz bir mesaj genel duyuru "broadcast" mesajıdır. Duyuru
mesajı genelde bir istasyon hangi istasyon ile konuşacağını bilemediği bir durumda kullanılan
bir mesajlaşma yöntemidir.
Alt Ağlar
Alt ağlar, IP adreslerini yönetmenin başka bir yoludur. Ağ tasarımında IP adresleri
sistemlere dağıtılırken ağ daha küçük birimlere parçalanarak alt ağlar oluşturulur. Bu,
internetin hiyerarşik adresleme yapısına uygun olduğu gibi, yönlendirme işinin kotarılması
için gerekli yapının kurulmasını da kolaylaştırır. Örneğin büyük bir üniversiteye B sınıfı bir
adres alındığında, bu adreslerin bölümlerdeki bilgisayarlara alt ağlar oluşturulmadan gelişi
güzel verilmesi birçok sorunu da beraberinde getirir. Hâlbuki verilen B sınıfı adres alanı daha
küçük alanlardan oluşan alt alanlara bölünse ve bu alt alanların her biri bölümlerdeki LAN’
lara atansa birçok kolaylık da beraberinde gelecektir. Adres yerleştirmeleri kolay olacak,
hiyerarşik yapı korunacak, adrese bakılarak ilgili sistemin hangi alt ağda olduğu anlaşılacak
ve bu sayede oluşan problemlere en kısa zamanda çözüm getirilebilecektir.
Ağ Maskesi
Alt ağ oluşumu ağ üzerindeki yöneticiye beraber çalıştığı her bir ağ parçasının
ölçüsünü belirlemeye imkân verir. Ağ üzerinde kaç segment olduğu bir kere belirlendiği
zaman hangi ağda hangi aygıtın açık olduğunu belirlemek için alt ağ maskesini kullanabilirler.
Bir bilgisayar ancak aynı ağda bulunan bir bilgisayarla doğrudan iletişime geçebilir. Aynı
ağda değillerse dolaylı olarak iletişime geçer. Aynı ağda olup olmadığını IP adreslerini
kullanarak anlarız. IP adresinin bir bölümü ağı, diğer bölümü de bilgisayarın ağ içindeki
adresini tanımlar. Hangi bölümü ile ağı hangi bölümü ile bilgisayarı tanımladığını bilmek için
alt ağ maskesi kullanırız. Dört bölümden oluşur ve ağ adresinin hangi bölüme kadar geldiğini
göstermek için kullanılır. Bilgisayar kendi ağ tanımlayıcılarını bulmak için alt ağ maskesi
kullanır. Bu yüzden alt ağ maskesinin doğru şekilde girilmesi gerekir. Yanlış girilirse
bilgisayarın diğer bilgisayarlarla iletişimi engellenebilir.
Bilgisayar ağ tanımlayıcısını bulmak için alt ağ maskesini IP adresini VE mantıksal
işleminden geçirerek kullanırlar. Mesela, IP adresi:195.134.67.200 olsun ve alt ağ maskesi de
255.255.255.0 olsun. Bilgisayarın bu bilgilere dayanarak bulunduğu ağ tanımlayıcısını yani
ağ adresini bulabiliriz. IP adresi ile alt ağ maskesini VE işlemine tabi tutalım:
195.134.67 .200 = 1100 0011.1000 0110.0100 0011.1100 1000
VE
255.255.255.0 = 1111 1111.1111 1111.1111 1111.0000 0000
Sonuç: 195.134.67. 0 = 1100 0011.1000 0110.0100 0011.0000 0000
Yayın Adresi
Ağın yayın adresi, alt ağ yapısına bağlı olarak belirlenir ve aynı ağ üzerindeki her
bilgisayarda aynı değerin kullanılması gerekmektedir. 255 adresi genel duyuru "broadcast"
amacı ile kullanılmaktadır. Duyuru mesajı genelde bir istasyon hangi istasyon ile
konuşacağını bilemediği bir durumda kullanılan bir mesajlaşma yöntemidir. Örneğin, ulaşmak
istediğiniz bir bilgisayarın adı elinizde bulunabilir; ama onun IP adresine ihtiyaç duydunuz,
bu çevirme işini yapan en yakın "name server" makinesinin adresini de bilmiyorsunuz, böyle
bir durumda bu isteğinizi yayın mesajı yolu ile yollayabilirsiniz. Bazı durumlarda birden fazla
sisteme bir bilginin gönderilmesi gerekebilir, böyle bir durumda her bilgisayara ayrı ayrı
mesaj gönderilmesi yerine tek bir yayın mesajı yollanması çok daha kullanışlı bir yoldur.
Yayın mesajı yollamak için gidecek olan mesajın IP numarasının bilgisayar adresi alanına 255
verilir. Örneğin 144.122.99 ağı üzerinde yer alan bir bilgisayar yayın mesajı yollamak için
144.122.99.255 adresini kullanır.
Yayın mesajı yollanması birazda kullanılan ağın fiziksel katmanının özelliklerine
bağlıdır. Mesela, bir ethernet ağında yayın mümkün iken noktadan noktaya (point-to-point)
hatlarda bu mümkün olmamaktadır. Bazı eski sürüm TCP/IP protokolüne sahip
bilgisayarlarda yayın adresi olarak 255 yerine 0 kullanılabilmektedir. Ayrıca yine bazı eski
sürümler alt ağ kavramına hiç sahip olmayabilmektedir.
Yukarıda da belirttiğimiz gibi 0 ve 255'in özel kullanım alanları olduğu için ağa bağlı
bilgisayarlara bu adresler kesinlikle verilmemelidir. Ayrıca adresler asla 0 ve 127 ile ve
223'un üzerindeki bir sayı ile başlamamalıdır.
IPv6
Günümüzde hâlen internet protokolü olarak kullanılan IPv4, bilgisayarların iletişim
sırasında uçtan uca adreslenebilmesini sağlamaktadır. IPv4 adresleri 32 bit ve teorik olarak
4.294.967.296 adettir. Ancak pratikte verimsiz adres atama mekanizmalarından dolayı etkin
adres sayısı bu sayıya hiçbir zaman ulaşamamaktadır. 1990’lı yıllarda patlayan internetteki
host sayısındaki ve web sayfalarındaki artış nedeniyle IPv4, ihtiyacı karşılamakta yetersiz
kalmaya başlamıştır. Bu problemler karşısında IPv6 geliştirilmiştir. Internet protokollerinden
sorumlu Internet Engineering Task Force (IETF), 1990’lı yılların başında yeni bir çalışma
grubu kurulmuş ve o zamanki adıyla IPng (Internet protocol, next generation ) çalışma grubu,
yeni IP protokolünün geliştirilmesi görevini üstlenmiştir. İnternet mimarisinin temel
prensiplerinin korunarak sağlıklı gelişiminin sağlanması ve yeni uygulamaların önünün
açılabilmesi için IP protokolünün yeni bir sürümünün geliştirilmesi öngörülmüştür. Yaklaşık
10 yılı aşkın bir süredir endüstri, akademi, hükûmetler ve çeşitli organizasyonların ortak
çalışması sonucu IPv6 protokolü oluşmuştur. IPv6 protokolü, IETF’ in yayınlamış olduğu bir
seri RFC dokümanı vasıtasıyla tanımlanmıştır. IPv6’yı IPv4’ten ayıran en temel özellik 128
bitlik genişletilmiş adres alanıdır. Bu genişlemenin sağlamış olduğu teorik adreslenebilir
düğüm sayısı 340.282.366.920.938.463.463.374.607.431.768.211.456 adettir. Böylesine geniş
bir adres alanının şu an yaşadığımız adres sıkıntısını çözmenin yanında internet
uygulamalarında yeniliklere de yol açması beklenmektedir. Öte yandan, IP üzerinde yapılan
değişiklikler sadece bununla da kalmayıp, protokolün tam anlamıyla tekrar gözden geçirilmesi
ve yenilenmesi de söz konusu olmuştur. Bunlar arasında basitleştirilmiş ve 64 bitlik
işlemcilere göre düzenlenmiş paket başlığı paket bölünmesinin sadece uç noktalarda
yapılacak olması yönlendiricilerin veri trafiğini daha seri bir şekilde işleyebilmesi için yapılan
değişikliklerdir.
Temel IP başlığının yanı sıra ihtiyaca göre eklenebilir uzantı başlıklarının
tanımlanabilmesi protokolün esnekliğini artıran bir faktör olmuştur. Güvenlik için IPsec (IP
Security protocol ) şartı da IPv6 ile gelen özellikler arasında yer almaktadır.
128 bitten oluşan IPv6 adreslerinin ilk 64 bitlik kısmı alt ağı adreslemek için
kullanılan adres blok bilgisini içermektedir. Adres bloğu, bir paketin varacağı son bağa kadar
olan yolda yönlendirilmesini sağlamaktadır. Geriye kalan 64 bit ise bu bağa vardığında
paketin son alıcısının tespitinde kullanılmaktadır. IPv6 adresleri 16’lık bir düzende aşağıdaki
gibi ifade edilir:
2045:ab28::6cef :85a1:331e:a66f:cdd1
Servis sağlayıcılar IPv6 omurgalarını kurup, tamamen IPv6 servisleri hizmete girene
kadar geçen sürede, noktadan noktaya IPv6 uygulamalarının IPv4 ağları üzerinden
geçirmeleri gerekecektir. Bu, bir IPv6 paketinin bir IPv4 paketinin içerisine sokulmasıyla
sağlanılmaktadır.
IPV6 adresleri 8 hanelidir.
•Araları “:” ile ayrılır. Her hane hexadecimal olarak ifade edilir.
•IPV6’da IPV4’de olduğu gibi IP sıkıntısı yaşanmayacaktır.
•Her hane 65536 adet ipv6 adresini barındırır.
•En küçük adres 0 en büyük adres FFFF’dir.
•Örnek : 2001:a98:c040:111d:0:0:0:1
0 1 2 3 4 5 6 7 8 9 (decimal-on tabanlı sayı sistemindeki rakamlar)
0 1 2 3 4 5 6 7 8 9 A B C D E F(hexadecimal-onaltı tabanlı sayı sist.rak)
ipv4 - 4 bölümden oluşur. her bölüm 8 bittir.ipv4 adresi hafızada 8*4=32 bitlik yer
kaplar. her bölüm 0-255 arası değerler alabilir. Dünya genelindeki tüm cihazlara
dağıtılabilecek IP sayısı 256*256*256*256 ya da 232 = 4.294.967.296 ihtimal. 2 nin
üzerindeki 32 nin anlamı,
ipv6 - 8 bölümden oluşur.her bölüm 16 bitliktir. hafızada 8*16=128 bit yer kaplar.
2128= 340 desilyon
Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
1- Ağ Saldırı Riskleri
Saldırıyı gerçekleştirenler, yazılımın zayıflıkları, kullanıcı adına ve bu kullanıcıya ait
parolayı tahmin etme ve donanım saldırıları gibi daha düşük düzeyli teknik yöntemlerle
kolayca ağa erişim kazanabilir.
Bilgi Hırsızlığı
Bilgi hırsızlığı izinsiz ağa erişimin, korumalı ağ bilgilerini elde etmek amacıyla
kullanıldığı bir saldırıdır. Saldırgan, bir sunucuda veya bilgisayarda, daha önce kimlik
doğrulaması için çaldığı bilgileri kullanabilir ve dosyalarda saklanan verileri okuyabilir.
Saldırgan, ağ iletişimlerini izleyen ve veriyi yakalayan bir aygıt veya program olan, donanım
veya yazılım tabanlı paket yoklayıcı kullanarak ağ ortamında geçiş hâlindeki veriyi çalabilir.
Kimlik Hırsızlığı
Kimlik hırsızlığı, kişinin izni olmadan kişisel bilgilerinin elde edilmesidir. Kimlik
hırsızlığını kullanılarak kişinin kredi kart numarası, ehliyet numarası, vatandaşlık numarası,
İnternet bankacılığı bilgileri, e-posta Şifre parolası ve önemli diğer kişisel bilgilerin bir
başkası tarafından çıkar sağlamak amacı ile yapılan dolandırıcılık türüdür. TCK’ye göre bu
suç sayılmaktadır.
Kimlik hırsızlığına uğranılmış ise bu birkaç yoldan anlaşılabilir:
İzinsiz çevrim içi satın almalar yapıldığında,
Kişi üzerinden çeŞitli kurumlarda kredi veya telefon hattı başvuruları sonucu
borçlanma bilgileri geldiğinde,
Kişinin bilgi dahilinde olmadan sosyal paylaşımlar olduğunda.
Bu gibi durumlarda adli mercilere başvurmak gerekmektedir.
Veri Kaybı ve Veri Kullanma
Kişisel bilgisayarlar ve işletmelerde kullanılan bilgisayarlarda veriler elektronik
ortamda saklanmaktadır. Bu verilerin erişilemez veya kullanılamaz hâle gelmesine veri kaybı
adı verilmektedir. Veriler ağdaki bilgisayarlar üzerinde saklanabilir veya yedeklenebilir.
Herhangi bir bilgisayar ağına gönderilen veri, o veriyi almaya yetkisi olmayan kişilerce ele
geçirilebilir. Bu kişiler iletişimi gizlice gözetleyebilir ya da gönderilen bilgi paketini
değiştirebilir. Bunu birçok metod kullanarak yapabilir. Örneğin, bilgi iletişiminde bir alıcının
IP numarasını kullanarak sanki o alıcıymış gibi gönderilen verileri istediği gibi kullanabilir.
Veya Üniversitelerin sistemlerine izinsiz bir giriş yaparak öğrenci not bilgisini geçer bir nota
çevirmek gibi.
Hizmet Aksatma
Kişisel veya işletmelerdeki kullanıcıların yasal haklarını kullanmalarını engelleme
olarak tanımlanabilir. Ağ haberleşmesinde kullanıcı adı ve parolasını kullanamaması,
kullanıcıların web hizmetine bağlanamaması gibi durumlarda ağa dışarıdan müdahale olduğu
anlaşılabilir.
Ağ İletişim Tehditleri
Bilişim teknolojilerindeki gelişmeler kullanıcılara büyük kolaylık sağlarken aynı
zamanda pek çok tehdidi de beraberinde getirmektedir. İletişim ağlarında ki güvenlik açıkları
kullanıcıların sisteminin ele geçirmekten öte kişisel bilgileri ve büyük firmaların gizli
bilgilerini ele geçirilmesine ve bu sayede maddi kazançlar elde etmeye yönelik olmaya
başlamıştır. Yeni nesil tehditler kullanıcılardan, güvensiz ağlardan kaynaklanabilir.
Haricî ve Dâhili Tehditler
Harici tehditler, ağ dışında çalışan kullanıcılardan gelir. Bu kişilerin bilgisayar
sistemlerine veya ağa yetkili erişimi bulunmamaktadır. Harici saldırganlar, ağa saldırılarını
genellikle İnternet üzerinden, kablosuz ağlardan veya çevirmeli erişim sunucularından
gerçekleştirir. Bu saldırılar maddi ve manevi zarara yol açar ve engellemek için güvenliğin
arttırılması gerekir.
Dâhili tehditler ise; bir kullanıcının hesabı üzerinden ağa yetkisiz erişimi olduğunda ya
da ağ ekipmanına fiziksel erişimi olduğunda gerçekleşir. Dâhili saldırgan, ilkeleri ve kişileri
tanır. Bu kişiler genellikle hangi bilgilerin ve savunmasız olduğunu ve bu bilgileri nasıl elde
edebileceğini bilir. Fakat, dahili saldırılar her zaman kasıtlı olmaz. Bazı durumlarda, dahili bir
tehdit, ağ dışındayken bilmeden dahili ağa virüs veya güvenlik tehdidi getiren güvenilir bir
çalışandan da gelebilir.
2- Sosyal Mühendislik
Sosyal mühendislik, insanlar arasındaki iletişimdeki ve insan davranışındaki modelleri
açıklıklar olarak tanıyıp bunlardan faydalanarak güvenlik süreçlerini atlatma yöntemine
dayanan müdahalelere verilen isimdir. Sosyal mühendis, kendisini sistem sorumlusu
olduğunu söyleyerek kullanıcının şifresini öğrenmeye çalışmak veya teknisyen kılığında
kurumun içerisine fiziksel olarak sızmak veya çöp tenekelerini karıştırarak bilgi toplamak gibi
değişik yollarla yapılabilir.
Sosyal mühendislikte en yaygın kullanılan tekniklerden üçü şunlardır: sahte senaryo
uydurma, oltalama (phishing) ve sesle oltalama (vishing).
Sahte Senaryo Uydurma
Genellikle telefonla iletişim üzerinden gerçekleşen bir yöntemdir. Saldırganın amacına
ulaşmak için sahte bir senaryo oluşturması ve bu senaryonun satırları arasından saldırılanın
erişimindeki hassas bilgiye (bir sonraki adımda kullanmak üzere kişisel bilgiler ya da şifreler,
güvenlik politikaları gibi erişim bilgileri) ulaşması şeklinde gelişir. Telefondaki işlemlerde
yetkilendirme için ihtiyaç duyulan bilgiler genellikle başka kanallardan erişilebilir bilgiler
(kimlik numarası, doğum tarihi vb.) olduğu için sahte senaryolar uydurmak ve istenen
bilgileri elde etmek çoğunlukla uygulanabilir bir saldırı yöntemi olmaya devam etmektedir.
Saldırganın senaryonun ana hattı dışına çıkabilecek durumları da göz önüne alıp hazırlık
yapması, başarı oranını artıran bir etkendir.
Oltalama (Phishing)
Kimlik avcısının geçerli bir dış kuruluşu temsil ediyor gibi davrandığı bir sosyal
mühendislik biçimidir. Genellikle e-posta üzerinden hedef bireyle (phishee) iletişim kurar.
Kimlik avcısı, kullanıcıları kandırmak ve güvenilir bir kurumdan aradığını kanıtlamak için
parola veya kullanıcı adı gibi bilgilerin doğrulanmasını isteyebilir.
Sesle / Telefonla Oltalama (Vishing)
Kimlik avcılarının, IP üzerinden ses (VoIP) uygulamasını kullandığı yeni bir sosyal
mühendislik biçimidir. Sesle oltalamada, güvenilir bir kullanıcıya geçerli bir telefon
bankacılığı hizmeti gibi görünen bir numarayı aramasını bildiren sesli mesaj gönderilir. Daha
sonra kullanıcının yaptığı aramaya bir hırsız tarafından müdahale edilir. Doğrulama için
telefondan girilen banka hesap numaraları veya parolalar çalınır.
3- Saldırı Yöntemleri
Saldırılar ağ üzerinden olacağından ağa bağlı cihazlar her zaman saldırıya açık
durumdadır durumdadır. Saldırganlar ağ üzeriden hedef makinaya ulaşarak yazılım veya
donanıma zarar vermek isteyebilir. Bunun yanı sıra bir işletmenin ağına ulaşarak
veritabanındaki verilere erişebilir, değiştirebilir veya silebilir. Saldırgan ağın İnternet
bağlantısını kesebilir. Hedef makinaya truva tı gibi program yükleyerek kullanıcıyı takibe
alabilir. Aynı zamanda saldırgan ağa girebilmek için farklı yöntemler kullanabilir.
Hizmet Reddi (Denial of service–DoS) Hizmet reddi (Denial of service-DoS) hizmet aksatma amaçlı bir saldırı çeşitidir. Bir
sisteme yapılan düzenli saldırılar sonucunda sistem çalışamaz ve hizmet veremez hâle
gelebilir. Ayrıca DoS saldırılarıyla hedef sisteme ait kaynakların tüketilmesi de amaçlanır. Bir
kişinin bir sisteme düzenli veya arka arkaya yaptığı saldırılar sonucunda hedef sistemin
kimseye hizmet veremez hâle gelmesi veya o sisteme ait tüm kaynakların tüketimini
amaçlanır. Bu saldırı önemli sunucuların servis vermeyi durdurması gibi büyük sorunlara yol
açabilir.
Bir DoS saldırısının yaptıkları;
Nework’ü trafik ile doldurmak böylece normal network trafiğini engellemek,
İki makine arasındaki iletişimi bozar, bu sayede bir servise erişimi engeller,
Özel birinin bir servise erişimini engeller,
Servisin belirli bir sistem veya kişi ile iletişimini bozar.
Günümüzde en çok karşılaşılan yaygın DoS saldırısı şunlardır:
SYN (eşzamanlı) taşması: Sunucuya gönderilen ve istemci bağlantısı isteyen
paket taşmasıdır. Paketlerde kaynak IP adresleri geçersizdir. Sunucu bu sahte isteklere yanıt
vermekle uğraşırken geçerli isteklere yanıt veremez.
Ping of death (Ölüm pingi): Bir cihaza, IP tarafından izin verilen maksimum
boyuttan (65,535 bayt) büyük bir paket gönderilir. Bu tür saldırılar artık bilgisayar sistemleri
üzerinde etkili değildir.
Dağıtılmış Hizmet Reddi ((Distributed Denial of Service–DDoS) Dağıtılmış hizmet reddi (DDoS) saldırıları DoS saldırılarının farklı kaynaklardan
yapılması ile gerçekleşir. Saldırganlar bazı yazılımlar tasarlayarak (Truva atı, solucan vb.) bu
yazılımları İnternet kullanıcılarına e-mail ya da çeşitli yollarla yükleyerek geniş kitlelere
yayar. Bu şekilde yetki elde ettikleri çok sayıdaki İnternet kullanıcılarının bilgisayarlarını
istedikleri zaman istedikleri siteye binlerce sorgu göndermek için kullanır.
Saldırganın kontrolü altındaki onlarca bilgisayardan tek bir sunucuya binlerce sorgu
göndermekte; bu da hedef makinenin band tüketmesine ya da tıkanmasına neden olmaktadır.
Deneme Yanılma
Ağ kesintilerine yol açan saldırıların tümü özel olarak DoS saldırıları değildir. Hizmet
reddine yol açabilen başka bir saldırı türü de deneme-yanılma saldırısıdır. Deneme yanılma
saldırılarında hızlı bir bilgisayar, parolaları tahmin etmeye veya bir şifreleme kodunun
şifresini çözmeye çalışmak için kullanılır. Saldırgan, koda erişim kazanmak veya kodu
çözmek için art arda hızlı şekilde çok sayıda olasılığı dener. Deneme yanılma saldırıları,
belirli bir kaynakta aşırı trafik oluşması nedeniyle veya kullanıcı hesaplarının kilitlenmesiyle
hizmet reddine yol açabilir.
Casus Yazılımlar Casus yazılım (spyware) kişisel bilgi toplama veya kullanıcının onayı alınmadan
bilgisayarın yapılandırmasını değiştirme gibi belirli davranışları gerçekleştiren programlardır.
Casus yazılımlar genellikle kullanıcının onayı alınmadan bilgisayara kurulur. Kurulduktan
sonra kullanıcının İnternette gezinti bilgileri toplanabilir. Bu bilgiler reklam veren kişi ya da
kuruluşlara veya İnternetteki diğer kişilere gönderilir ve parola, hesap numarası gibi bilgileri
de içerebilir.
Casus yazılım genellikle bir dosya indirilirken, başka bir program yüklenirken veya bir
açılır pencereye tıklandığında bilmeden yüklenir. Bilgisayarı yavaşlatabilir ve dâhili ayarları
değiştirerek diğer tehditler için daha fazla zayıflık oluşturabilir. Ayrıca casus yazılımı
bilgisayardan kaldırmak çok zor olabilir.
İzleme Tanımlama Bilgileri İzleme tanımlama bilgileri bir çeşit casus yazılımdır ancak her zaman kötü amaçlı
değildir. Bir İnternet kullanıcısı web sitelerini ziyaret ettiğinde o kullanıcıya ilişkin bilgileri
kaydetmek için tanımlama bilgisi (cookie) kullanılır. Tanımlama bilgileri, kişiselleştirme ve
diğer zaman kazandıran tekniklere izin verdiği için kullanışlı ve aranan yazılımlar olabilir.
Kullanıcının birçok web sitesine bağlanabilmesi için tanımlama bilgilerinin etkinleştirilmiş
olması gerekir.
Reklam Yazılımları Reklam yazılımı, kullanıcının ziyaret ettiği web siteleri temel alınarak kullanıcı
hakkında bilgi toplamak için kullanılan yazılım biçimidir. Bu bilgiler daha sonra hedeflenmiş
reklamcılık için kullanılır.
Reklam yazılımı genellikle "ücretsiz" bir ürün karşılığında kullanıcı tarafından
yüklenir. Kullanıcı bir tarayıcı penceresini açtığında, Reklam yazılımı kullanıcının
İnternetteki sörf hareketlerine dayanarak ürün veya hizmetlerin reklamını yapan yeni tarayıcı
pencerelerini açabilir. İstenmeyen tarayıcı pencereleri ard arda açılarak, özellikle İnternet
bağlantısı yavaş olduğunda İnternette sörf hareketini çok zor hale getirebilir. Reklam
yazılımının kaldırılması çok zor olabilir.
Açılır Pencereler Açılır pencereler bir web sitesi ziyaret edildiğinde görüntülenen ek reklam
pencereleridir. Reklam yazılımından farklı olarak, açılır pencereler kullanıcı hakkında bilgi
toplamak için tasarlanmamış olup genellikle yalnızca ziyaret edilen web sitesiyle ilişkilidir.
Açılır pencereleri engellemek için tarayıcı özelliklerinden açılır pencere
engelleyicisini etkinleştirmek gerekmektedir.
Spam Bir e-postanın talepte bulunmamış, birçok kişiye birden, zorla gönderilmesi
durumunda, bu e-postaya istenmeyen e-posta yani spam denir. Spamlar genellikle kitlesel
veya ticari amaçlı olabilir.
Satıcılar bazen hedeflenmiş pazarlamayla uğraşmak istemez. Ürün veya hizmetlerinin
birilerinin ilgisini çekmesi umuduyla e-posta reklamlarını olabildiğince fazla son kullanıcıya
göndermek ister. Spam; İnternet hizmeti sağlayıcısını, e-posta sunucularını ve tek tek son
kullanıcı sistemlerini aşırı yükleyebilen ciddi bir ağ tehdididir.
Spam listeleri genellikle arama sayfalarının taranması, tartışma gruplarının üye
listelerinin çalınması veya web üzerinden adres aramalarıyla oluşturulur.
4- Güvenlik Önlemleri
Tanımlama ve Kimlik Doğrulama İlkeleri
Bilgisayar ağlarında tanımlama belirli bir kimlik sahibinin gönderilen mesaja bu
bilgiyi eklemesi ile ifade edilir. Kimlik doğrulama, sunucu bilgisayar tarafından belirli
kullanıcıları tanımlamak ve kendi verilerine erişim izinlerini doğrulamak için kullanılan
işlemdir.
Parola ilkeleri
Bilgisayar ağlarında güvenlik önlemlerinde biri de ağa erişim için parola korumasıdır.
İnternet erişimi için veya dosya sunucusuna erişim için güvenlik uzmanları parolalı koruma
yöntemini geliştirmiştir. Parola ilkeleri, etki alanı hesapları veya yerel kullanıcı hesapları için
de kullanılabilir.
Kabul Edilebilir Kullanım İlkeleri
Güvenlik tehditlerinin çoğu tanınmış web sitelerinden gelebilir. Web sitelerine
erişimlerini yönetmeyen organizasyonlar risk altındadır. Ağ güvenlik filtreleme çözüm olarak
kabul edilebilir. Web kategorisi organizasyonların dünya çapında kabul edilebilir kullanım
ilkelerini kolaylıkla yönetmesini, casus yazılım, dolandırıcılık, klavye hareketlerini kaydetme
ve diğer tehditleri içeren sitelere erişimi yasaklamasını sağlar.
Uzaktan Erişim İlkeleri
Uzaktan erişerek kullanılacak sistem başka bir binada veya kilometrelerce uzakta
olabilir. Telnet, İnternete bağlım herhangi bir makineye uzaktan bağlanmak için geliştirilen
bu yöntemin genel adıdır. Uzaktan Erişim yapılacak bilgisayarı bir uzaktan erişim sunucusu
gibi çalışmak üzere yapılandırarak, uzak veya hareketli çalışanların kuruluşunuzun ağlarına
bağlanması sağlanabilir. Uzak kullanıcılar, bilgisayarları ağa fiziksel olarak bağlıymış gibi
çalışabilir.
VPN Bağlantıları
Ağ güvenlik önlemlerinden biri de VPN (Virtual Private Network-Sanal Paylaşımlı
Ağ) kullanılmasıdır. VPN çalışma mantığı, aslında olmayan ama farklı hatlar üzerinden ki
İnternet sistemleri, uydu bağlantıları, kablo net yapıları farklı noktada olan iki ağı aynı ağda
çalıştırmak kullanılabilir. Örneğin, iki farklı ülkede iki ayrı ağ kurmak için VPN kullanılır.
VPN kullanıcıya hem dosyalarını aynı ağda paylaşmasını hem de içerde çalışan programları
veya e-posta programlarını VPN yazılımı ile güvenli şekilde yapılacaktır.
GÜVENLİK ARAÇLARI VE UYGULAMALAR
1- Güvenlik Duvarı
Ağ güvenliğini sağlayabilmek için bir ağ güvenlik duvarı (network firewall) kullanılır.
Bir ağ güvenlik duvarı kullanarak ağı dış saldırılardan korunabilir, ağa gelen ve ağdan giden
verileri denetlenebilir ve yönetilebilir, istenmeyen istemcilerin (client) İnternet bağlantısı
kesilebilir mevcut İnternet bağlantının bant genişliğini yönetilebilir.
2- Spam Filtresi
Spam Filtreleri, sunucuya gelen e-postaları bir süzgeçten geçirerek istenilmeyen e-
postaları tespit eden ve kullanıcının gelen kutusuna (inbox) düşmesine engel olan
programlardır. E-postalar spam filtrelerinde birçok kural ve kriterlere göre değerlendirilir. Her
bir kural spam filtresi tarafından belirlenmiş olan belli puana sahiptir. Başlangıçta sıfır olan
puan spam filtrelerinin kurallarına uyan her hangi bir eşleşme görüldüğünde bu puan toplam
puana eklenir.
3- Yamalar ve Güncellemeler
Yazılımlarda zaman zaman hatalar veya eksiklikler keşfedilir. Bilgisayar sistemlerini
dışarıdan gelecek saldırılara (virüs ya da bilgisayar korsanı) açık hâle getiren bu zaaflara
güvenlik açıklığı denir ve ancak yazılımlar güncellenerek kapatılabilir. Bu açıklıkları giderme
amacı ile yazılım ve işletim sistemleri geliştiricileri yeni sürümler, yazılım yamaları, ya da
hizmet paketleri yayınlar.
4- Casus Yazılımlardan Korunma Yazılımları
Casus yazılımlar, bilgisayar kullanıcılarının gündemine artarak giren bir problem
olmuştur. Casus yazılımlardan bilgisayarı korumak için işletim sistemi dâhilinde olan yazılım
(Windows Defender) kullanılabilir. Bu yazılımın haricinde ücretli veya ücretsiz bir yazılım
İnternetten indirilerek bilgisayara kurulabilir. “Ad-Aware SE” ve “Spybot Search & Destroy”
adlı programlar ücretsiz olarak İnternetten indirilerek bilgisayara kurulabilir. Kendi başlarına
bir dereceye kadar etkili olmalarına karşın, beraber kullanıldıklarında hayli etkindir.
5- Açılır Pencere Engelleyicileri
İstenmeden açılan pencereler, tarama sırasında kullanıcıya sormadan kendiliğinden
açılan pencerelerdir. Boyutları değişebilir ama genelde ekranın tamamını kaplamaz. Açılır
pencereleri engellemek için bilgisayarda kullanılan tarayıcı üzerinde ayarlamaları yapmak
yeterli olur. İşletim sisteminin üzerindeki tarayıcı veya kullanıcının kendisinin bilgisayara
kurduğu tarayıcılarda bu özellikler bulunmaktadır. Açılır pencereleri engellemek içi öze
programlarda kullanılabilir.
6- Antivirüs Yazılımlar
Bilgisayar sistemlerinin düzgün çalışmalarını engelleyen, veri kayıplarına, veri
bozulmalarına ve çeşitli yollarla kendisini kopyalayan kötü amaçlı yazılımlara virüs denir.
Her geçen gün yeni virüsler çıkmakta veya var olanların özellikleri değiştirilerek tekrar
piyasaya sürülmektedir. Virüsler; bilgisayar sistemlerinin çalışmasını aksatma ve bozmanın
yanı sıra verilerin silinmesi veya çalınması gibi kötü amaçları gerçekleştirmek için
hazırlanmaktadır.
KABLOSUZ ORTAM GÜVENLİĞİ
1- Kablosuz LAN (Yerel Ağ) Güvenliği Kablosuz ağ, iki veya daha fazla bilgisayar arasında kablo ile oluşturulan yapısal ağın
kablo yerine alıcı ve verici cihazlar arasında radyo dalgaları ile iletişim sağlanan ve daha uzak
mesafeler arasında ağ imkanı sunan bir teknoloji bütününün adıdır. Kablosuz yerel ağlar
sağlık kurumları, hipermarketler, üretim kuruluşları, fabrikalar, akademik kurumlar ve
ambarlar gibi birçok alanda yaygın hale gelmiştir. Günümüzde kablosuz yerel ağlar birçok iş
sahasında genel amaçlı bağlantı alternatifi olarak kabul edilmektedir.
Kablosuz ağ da kablosuz ağ bağdaştırıcısı (ağ kartı), kablosuz modem veya kablosuz
yönlendirici (router) gibi donanımlar kullanılabilir.
Kablosuz ağlardaki en temel güvenlik problemi verilerin havada transfer edilmesidir.
Kablolu ağlarda switch ya da hub kullanarak güvenliği fiziksel olarak sağlanabilir ve switche /
hub’a fiziksel olarak bağlı olmayan cihazlardan güvenlik önlemi alınabilir. Kablosuz ağlarda
tüm iletişim hava üzerinden kurulur.
Kablosuz ağda güvenliği sağlamak için;
Erişim noktasının veya kablosuz modemin arayüz kullanıcı adı şifresi
değiştirilebilir. Kablosuz ağda arayüze bağlanmak için tarayıcıya ara yüzün adresi yazılır.
Erişim noktasının (Access point) veya modemin yazılımı güncellenmelidir. Ara
yüzü kullanılarak ayarlar sekmesinden yazılımı kullan seçeneği kullanılabilir.
Erişim noktası veya kablosuz modem kullanılmadığı zamanlarda kapatılabilir.
Mac Adresini filtrelemek, kullanıcının Mac adresi ile girilmeyen cihazların erişim
noktasına bağlanmasını engeller. Modeminizin ya da erişim noktasının kablosuz ayarlar /
güvenlik bölümünde Mac adres filtrelemesi kullanılabilir.
Kablosuz ağda IP havuzu belirlenerek havuzda bulunan IP adreslerinin ağa
bağlanması sağlanabilir. Bu yöntem kullanılarak ağ trafiği hızlanabilir.
2- SSID
Hizmet Kümesi Tanıtıcısı (Service Set Identifier / SSID), belirli bir kablosuz ağa
verilen addır. Kablosuz ağ adı (SSID) kablosuz yönlendirici üzerinde belirlenir. Kablosuz
yönlendirici, atanmış SSID’yi yayınlayacak veya yayınlamayacak şekilde ayarlanabilir.
Kablosuz yönlendirici SSID’yi yayınlayacak şekilde ayarlanmışsa kablosuz ağ bir yayın
yapan ağdır ve saldırganlar tarafından bu ağ adı görüntülenebilir. Kablosuz yönlendirici SSID
’yi yayınlamayacak şekilde ayarlanmışsa, kablosuz ağ bir yayın yapmayan ağdır.
3- WLAN’a Saldırılar
Kablosuz ağlardaki hızlı yaygınlaşma ve hız artışı, güvenlik önlemlerinin de daha
fazla dikkate alınmasını mecburi kılmaktadır. Sistem yöneticilerinin ve ev kullanıcılarının
konuyla ilgili olarak bilgi sahibi olmaları ve daha bilinçli davranmaları çok önemlidir. Ev
kullanıcılarının konuyla ilgili olarak bilinçlendirilmeleri oldukça zordur. Bu nedenle, ev
kullanıcılarını ilk etapta koruma görevi, kablosuz ağ erişim noktası satan ve İnternet erişimi
sağlayan firmalar tarafından verilmesi en uygun yöntem olacaktır.
MAC adresini dinlemek çok kolaydır. Paket yakalama yazılımı kullanarak saldırgan
kullanılan bir MAC adresini tespit eder. Eğer kullandığı kablosuz ağ kartını izin veriyorsa
MAC adresini bulduğu yeni MAC adresine değiştirebilir ve artık hazırdır. Eğer saldırgan
yanında kablosuz ağ donanımları bulunduruyorsa ve yakınında bir kablosuz ağ varsa aldatma
(spoof) saldırısı yapabilir demektir. Aldatma saldırısı yapabilmek için, saldırgan kendine ait
olan erişim noktasını yakınındaki kablosuz ağa göre veya güvenebileceği bir İnternet çıkışı
olduğuna inanan bir kurbana göre ayarlamalıdır. Bu sahte erişim noktasının sinyalleri gerçek
erişim noktasından daha güçlüdür. Böylece kurban bu sahte erişim noktasını seçecektir.
Kurban bir kere iletişime başladıktan sonra, saldırgan onun şifre, ağ erişim ve diğer önemli
bütün bilgilerini çalacaktır. Bu saldırının genel amacı aslında şifre yakalamak içindir.
4- WLAN’a Erişimi Sınırlama
Kablosuz ağ güvenliğinde MAC ve IP adresi filtreleme yöntemlerinden farklı olarak
erişim noktası sınırlama ayarları mevcuttur. Güvenlik duvarı arkasında bulunan erişim
noktaları incelendiğinde zayıf noktaları olarak kablosuz ağ girişleri, konferans odalarındaki
ethernet portları, taşınabilir laptoplar ve yetkilendirme yapılmamış diğer uçlar (PC, yazıcı vs)
gözü çarpmaktadır. Bu noktalar ağın toplam güvenliği için ciddi risk oluşturmaktadır.
Kablosuz ağlarda, ağ erişim kontrolü (NAC) de kullanılabilir. NAC kurumların
iletişim ağını kullananların, ilgili kurumun güvenlik politikası kurallarına uygunluğunu
denetleyen bir güvenlik teknolojisidir. NAC ile sadece şirket ağ politikalarına uyan ve
güvenilir olan masaüstü bilgisayar, dizüstü bilgisayar, sunucu ve cep bilgisayarının (PDA)
şirket ağına bağlanmasına izin verilmektedir.
5- WLAN’da Kimlik Doğrulama
Kablosuz ağ standardı kimlik doğrulama için iki adet mekanizma sunar bunlar, açık
kimlik doğrulama ve paylaşılmış anahtar kimlik doğrulamasıdır. Standart dâhilinde olmayana
ancak sıkça kullanılan diğer iki yöntem de SSID (Service Set Identifier) ve MAC (Media
Access Control) değerlerinin kimlik doğrulamada kullanılmasıdır. SSID değerinin
kullanılması aslında ağın mantıksal olarak bölümlere ayrılmasını sağlar ve bir kimlik
doğrulama mekanizması olarak düşünülmüş bir yöntem değildir ancak güvenliği artırıcı ek bir
önlem olarak değerlendirilebilir. Her hangi bir istemcinin ağdan hizmet alabilmesi için doğru
SSID değeri ile yapılandırılmış olması gerekir.
6- WLAN’da şifreleme
Kablosuz ağların güvenliğinin sağlanması için ağların şifrelenmesi yöntemi
geliştirilmiştir. Kablosuz ağlarda trafiğin başkaları tarafından izlenmemesi için alınması
gereken teme önlemlerden biri de trafiği şifrelemektir. Kablosuz ağlarda şifreleme WEP
(Wired Equivalent Privacy) ve WPA (Wi-Fi Protected Access) olarak adlandırılan iki
protokol üzerinden yapılır. Her iki protokol de ek güvenlik önlemleri alınmazsa günümüzde
güvenilir kabul edilmez.
WEP
802.11 standardı, kablosuz alan ağlarında ortaya çıkan haberleşmelerin tanımlandığı
bir standarttır. WEP (Wired Equivalent Privacy) algoritması her türlü haricî saldırıdan
kablosuz haberleşmeyi korumak için kullanılır. WEP’in ikinci fonksiyonu ise kablosuz ağa
yetkisiz erişimleri engellemektir. WEP bir mobil cihaz istasyonu ve erişim noktası arasındaki
kablosuz haberleşme kurmak ve paylaşımda bulunabilmek için bir şifreye ihtiyaç duyar. Bu
şifre ya da güvenlik anahtarı veri paketlerini göndermeden önce onları şifrelemek ve
gönderim sonrasında değişikliğe uğrayıp uğramadıklarını için diğer bir ifadeyle doğruluk
kontrolü yapmak amacıyla kullanılır.
WPA
WPA kablosuz ağlar için geliştirilmiş bir şifreleme standardıdır. Bu standart daha
önceki WEP (Wired Equivalent Privacy-Kabloya Eş Güvenlik) sisteminin yetersizliğine
karşılık geliştirilmiştir. WPA, veri şifreleme ve kullanıcı kimlik denetimi alanlarında bilgi
güvenliği sunmaktadır. WPA, veri şifreleme işlemini geliştirmek için bu konuda yeni bir
yöntem sunarak şifreleme anahtarlarını otomatik olarak dağıtır. Bir bit veri bile şifreleme
anahtarlarıyla korunur. Bu çözüm aynı zamanda, veri üzerinde bütünsel bir kontrol yaparak,
verileri ele geçirmek isteyen kişilerin bilgileri değiştirmesini engeller. WPA, kurumsal
kullanıcıların korunması için, ağ üzerindeki her bir kullanıcıya kimlik denetimi uygularken,
bu kullanıcıları veri hırsızlığı amacıyla düzenlenmiş ağlara geçişini de engeller. Aynı
zamanda WPA ile 48 bitlik bir şifreleme yapılır.
7- WLAN’da Trafik Filtreleme WLAN’a kimlerin erişim kazanacağının ve iletilen verileri kimlerin kullanabileceğinin
denetlenmesinin yanı sıra WLAN üzerinden iletilen trafik türünün de denetlenmesi yararlıdır.
Trafik filtrelemesi kullanılarak bu gerçekleştirilir.
Trafik filtrelemesi, istenmeyen trafiğin kablosuz ağa girmesini veya kablosuz ağdan çıkmasını
engeller. Trafik, erişim noktası üzerinden geçerken erişim noktası tarafından filtreleme
yapılır. Belirli bir MAC veya IP adresinden trafiği kaldırmak ya da belirli bir MAC veya IP
adresine trafiği hedeflemek için filtreleme yapılabilir. Bu işlev, belirli uygulamaları da
bağlantı noktası numaralarına göre engelleyebilir. İstenmeyen ve şüpheli trafik ağdan
kaldırılarak, önemli trafiğin hareketine daha fazla bant genişliği adanır ve WLAN’ın başarımı
artırılır. Örneğin, kimlik doğrulama sunucusu gibi belirli bir makineyi hedefleyen tüm telnet
trafiğini engellemek için trafik filtreleme kullanılabilir. Kimlik doğrulama sunucusuna
yönelik telnet girişimleri şüpheli olarak değerlendirilir ve engellenir.
KAYNAKLAR
1- Murat KARA; 2014, Bilgisayar Ağları ve İletişim
2- T.C. Milli Eğitim Bakanlığı; 2013, BİLİŞİM TEKNOLOJİLERİ, Ağ Güvenliği, Ankara
3- Cemal TANER, Fatih ÖCAL; 2014, Bilgisayar Ağları Ders Notları, Manisa
